2022中国软件供应链安全分析报告

1 2022 中国软件供应链安全 分析报告 奇安信代码安全实验室 2022年6月 I 目 录 一、概述 ...................................................................................... 1 1、软件供应链安全攻击事件保持持续高发...................................... 1 2、开源软件安全风险是当前软件供应链安全的焦点问题 .............. 3 二、国内企业自主开发源代码安全状况 ................................. 5 1、编程语言分布情况 ........................................................................ 5 2、典型安全缺陷检出情况 ................................................................. 6 三、开源软件生态发展与安全状况 ......................................... 7 1、开源软件生态发展状况分析 ......................................................... 7 2、开源软件源代码安全状况分析 ..................................................... 9 （1）编程语言分布情况 .................................................................. 9 （2）典型安全缺陷检出情况 ........................................................ 10 3、开源软件公开报告漏洞状况分析 ............................................... 10 （1）大型开源项目漏洞总数及年度增长TOP20 .......................... 10 （2）主流开源软件包生态系统漏洞总数及年度增长TOP20 ...... 12 4、开源软件活跃度状况分析 ........................................................... 14 （1）7成开源软件项目处于不活跃状态 ..................................... 14 II （2）近2万个开源软件一年内更新发布超过100个版本 ......... 15 5、关键基础开源软件分析 ............................................................... 16 （1）主流开源生态关键基础开源软件TOP50 .............................. 16 （2）2/3的关键基础开源软件从未公开披露过漏洞 .................. 19 （3）关键基础开源软件的整体运维风险较高 ............................. 20 四、国内企业软件开发中开源软件应用状况 ....................... 20 1、开源软件总体使用情况分析 ....................................................... 21 （1）平均每个软件项目使用127个开源软件 ............................. 21 （2）流行开源软件被超过1/3的软件项目使用 ......................... 21 2、开源软件漏洞风险分析 ............................................................... 22 （1）77%的软件项目存在容易利用的开源软件漏洞 ................... 22 （2）平均每个软件项目存在69个已知开源软件漏洞 ............... 23 （3）影响最广的开源软件漏洞存在于超3成的软件项目中 ..... 23 （4）16年前的开源软件漏洞仍然存在于多个软件项目中 ........ 25 3、开源软件许可协议风险分析 ....................................................... 25 （1）最流行的开源许可协议在超3/4的项目中使用 ................. 26 （2）45.6%的项目使用了含有高风险许可协议的开源软件 ....... 26 4、开源软件运维风险分析 ............................................................... 27 （1）20年前的老旧开源软件版本仍在被使用 ............................ 27 III （2）开源软件各版本使用更加混乱 ............................................ 28 五、典型软件供应链安全风险实例分析 ............................... 29 1、某主流网络接入存储(NAS)设备供应链攻击实例分析 .............. 29 2、某主流VPN路由器供应链攻击实例分析.................................... 31 3、三款国产操作系统供应链攻击实例分析.................................... 33 4、某国产邮件系统供应链攻击实例分析 ....................................... 35 5、Edge浏览器供应链攻击实例分析 .............................................. 36 六、总结及建议 ....................................................................... 38 附录：奇安信代码安全实验室简介 ....................................... 40 1 一、概述 数字化时代，软件的重要性和软件供应链安全问题的严峻性已成为各方共识。为此，奇安信代码安全实验室去年发布了《2021中国软件供应链安全分析报告》（https://h5.qianxin.com/threat/report /detail/132），从多个维度分析了软件供应链的安全风险，并提供了详实的统计数据。 本报告是该系列年度分析报告的第二期，继续针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析，并总结趋势和变化。本年度报告相比于去年的报告新增了以下内容：在开源软件生态发展与安全部分新增了关键基础开源软件分析；在企业软件开发中的开源软件应用部分新增了漏洞利用难度的统计分析和开源许可协议风险分析；在典型软件供应链安全风险实例部分，重点分析了利用开源软件“老漏洞”攻破最新主流产品的实例，通过多个实例验证了由于软件供应链的复杂性，开源软件的“老漏洞”也可以起到“0day漏洞”的攻击效果。上述报告内容的变化，感兴趣的读者在阅读时可以重点关注。 1、软件供应链安全攻击事件保持持续高发 在过去的一年中，针对软件供应链的安全攻击事件依然呈现出高发态势，造成的危害也非常严重。 2 2021年8月，台湾芯片设计厂商Realtek称，其WiFi模块的三款开发包(SDK)中存在4个严重漏洞。攻击者可利用这些漏洞攻陷目标设备并以最高权限执行任意代码。这些SDK用于至少65家厂商制造的近200款物联网设备中。 2021年10月，攻击者劫持了NPM包 ua-parser-js作者的账户约4小时，意图安装恶意软件。ua-parser-js每周下载量超过700万次，广泛应用于Facebook、苹果、亚马逊、微软、IBM等硅谷巨头企业中。 2021年11月，热门NPM包coa和rc连续遭劫持，并被植入恶意代码，影响全球React管道。coa库每周下载量约900万，用于GitHub上近500万个开源库中，rc库每周下载量达1400万。 2021年12月，Apache Log4j2曝出Log4Shell漏洞(CVE-2021-44228)，Apache Log4j2是Java应用最广泛的开源日志组件，广泛应用于政府、企业和公共服务机构的平台、应用和业务系统中，该漏洞覆盖范围广而且利用门槛低，对大量系统和机构造成了严重影响。 2022年3月，俄乌冲突中，NPM开源包Node-ipc的作者RIAEvangelist作为反战人士，在代码仓库中进行了“供应链投毒”，添加的恶意js文件能够在包使用者的桌面创建反战标语。Node-ipc使用非常广泛，每周下载量超过100万次。 2022年4月，以色列安全公司发现高通和联发科芯片的音频解码器存在三个漏洞（CVSS评分为9.8、7.8和5.5），来源于11年前苹果公司开发的开源无损音频编解码器Apple Lossless。利用这些 3 漏洞进行攻击，可获取受影响移动设备媒体、音频会话的访问权限及摄像头数据流等，漏洞影响范围包括数百万安卓设备。 2022年5月，安全研究人员在NPM注册表中发现了一些恶意软件包，与大多数恶意软件相比，其危险性更大，攻击者可以通过后门完全控制被感染的机器。分析人员称，这是一次依赖混淆攻击，其目标非常明确，并且掌握了非常机密的内部信息。德国的著名媒体、物流和工业企业等机构受到攻击。 2、开源软件安全风险是当前软件供应链安全的焦点问题 奇安信代码安全实验室通过数据对比分析发现，与前一年度相比，国内企业自主开发源代码的安全状况有较明显的改善，千行代码缺陷密度和十类典型安全缺陷的总体检出率均有明显下降，这应该得益于软件源代码安全缺陷分析工具的持续应用,以及程序员编写代码时的安全意识提高。但开源软件安全风险仍然居高不下，开源软件的安全风险管控是当前软件供应链安全保障需要解决的核心焦点问题。 1）国内企业自主开发源代码安全性明显改善 2021年，国内企业自主开发源代码的整体缺陷密度和高危缺陷密度相比2020年均有所下降，其中高危缺陷密度下降较为明显，从1.08个/千行降为0.65个/千行；十类典型安全缺陷的总体检出率从2020年的77.8%下降到59.9%，下降了近18%。 2）开源生态保持蓬勃发展，开源软件自身安全问题更加严峻 2020年底和2021年底，主流开源软件包生态系统中开源项目总 4 量分别为3814194个和4395386个，一年间增长了15.2%，开源生态依然保持蓬勃发展的态势。与此同时，开源软件漏洞数量持续增长，2021年新增的开源软件漏洞达到6346个；不活跃的开源项目占比从去年报告的61.6%提升至69.9%。根据“奇安信开源项目检测计划”的实测数据显示，所检测开源软件的总体缺陷密度和高危缺陷密度略高于去年，依然处于较高的水平；十类典型缺陷的总体检出率为73.5%，远高于去年的56.3%。总体来看，开源软件自身的安全问题日益严峻。 3）国内企业软件开发中，开源软件安全风险问题未见改善 2021年，奇安信代码安全实验室对3354个国内企业软件项目中使用开源软件的情况进行了分析，从数据分析情况来看，国内企业使用开源软件时的安全风险问题没有得到改善，开源软件安全风险是当前企业软件开发中亟待解决的首要问题。 在2021年分析的33