2023中国软件供应链安全分析报告

1 2023 中国软件供应链安全 分析报告 奇安信代码安全实验室 2023年7月 I 目 录 一、概述 .................................................................................................... 1 1、软件供应链安全攻击事件依然高发 ............................................... 1 2、开源软件安全是软件供应链安全的重中之重 ............................... 3 二、国内企业自主开发源代码安全状况 ................................................ 5 1、编程语言分布情况 ........................................................................... 5 2、典型安全缺陷检出情况 ................................................................... 6 三、开源软件生态发展与安全状况 ........................................................ 7 1、开源软件生态发展状况分析 ........................................................... 7 2、开源软件源代码安全状况分析 ....................................................... 9 （1）编程语言分布情况 .................................................................. 10 （2）典型安全缺陷检出情况 .......................................................... 10 （3）安全问题修复确认情况 .......................................................... 11 3、开源软件公开报告漏洞状况分析 ................................................. 11 （1）大型开源项目漏洞总数及年度增长TOP20 ......................... 12 （2）主流开源软件包生态系统漏洞总数及年度增长TOP20 ..... 14 4、开源软件活跃度状况分析 ............................................................. 15 II （1）超7成开源软件项目处于不活跃状态 .................................. 16 （2）超2.2万个开源软件一年内更新发布超过100个版本 ....... 16 5、关键基础开源软件分析 ................................................................. 17 （1）主流开源生态关键基础开源软件TOP50 ............................. 17 （2）从未公开披露过漏洞的关键基础开源软件占比进一步升高 ............................................................................................................ 20 （3）关键基础开源软件的整体运维风险仍处于较高水平 .......... 20 四、国内企业软件开发中开源软件应用状况 ...................................... 21 1、开源软件总体使用情况分析 ......................................................... 21 （1）平均每个软件项目使用155个开源软件 .............................. 21 （2）流行开源软件被超4成的软件项目使用 .............................. 22 2、开源软件漏洞风险分析 ................................................................. 22 （1）近8成软件项目存在容易利用的开源软件漏洞 .................. 22 （2）平均每个软件项目存在110个已知开源软件漏洞 .............. 23 （3）影响最广的开源软件漏洞存在于超4成的软件项目中 ...... 24 （4）20多年前的开源软件漏洞仍然存在于多个软件项目中 ..... 25 3、开源软件许可协议风险分析 ......................................................... 26 （1）最流行的开源许可协议在超半数的项目中使用 .................. 26 （2）1/6的项目使用了含有超、高危许可协议的开源软件 ........ 26 III 4、开源软件运维风险分析 ................................................................. 28 （1）近30年前的老旧开源软件版本仍在被使用 ........................ 28 （2）开源软件各版本使用依然混乱 .............................................. 29 5、不同行业软件项目开源使用风险分析 ......................................... 29 （1）各行业软件项目分布情况 ...................................................... 29 （2）各行业软件项目使用开源软件情况 ...................................... 30 （3）各行业软件项目含已知开源软件漏洞情况 .......................... 31 五、典型软件供应链安全风险实例分析 .............................................. 32 1、某主流企业级无线路由器供应链攻击实例分析 ......................... 32 2、ZCS协同办公系统供应链攻击实例分析 ..................................... 33 3、多款国产操作系统供应链攻击实例分析 ..................................... 35 4、某国产CMS系统供应链攻击实例分析 ....................................... 37 六、总结及建议 ...................................................................................... 39 附录：奇安信代码安全实验室简介 ...................................................... 42 1 一、概述 过去的一年，各界对软件供应链安全的关注度依然高涨，相关安全攻击事件也持续增加。为此，奇安信代码安全实验室在前两期《中国软件供应链安全分析报告》（https://www.qianxin.com/threat/ reportdetail?report_id=161）的基础上，推出本分析报告。 作为该系列年度分析报告的第三期，本报告继续针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析，并总结趋势和变化。相比于去年的报告，本报告有以下新增之处：在开源软件生态发展与安全部分新增了开源项目维护者对他人提交安全问题的修复确认情况；在企业软件开发中的开源软件应用部分新增了对不同行业软件项目开源使用风险的分析，对开源许可协议的风险分析分别统计了超危和高危开源许可协议的使用情况；在典型软件供应链安全风险实例部分，通过多个新的实例再次验证了因软件供应链的复杂性，开源软件的“老漏洞”发挥“0day漏洞”攻击作用的状况。感兴趣的读者阅读时可重点关注上述变化之处。 1、软件供应链安全攻击事件依然高发 在过去的一年中，针对软件供应链的安全攻击事件持续增加，造成的危害也愈发严重。 2022年7月，攻击者通过在NPM上发布包时绕过双因子认证 2 (2FA)，创建了1000多个用户账号，攻击者利用这些账号自动投放1283个包含挖矿脚本eazyminer的恶意模块，利用数据库、Web等所在服务器的机器闲置资源进行挖矿，如果开发者安装了这些包，则会在被调用时挖掘门罗币。 2022年11月，美国FBI和CISA发布联合公告指出，未具名的伊朗组织利用Log4Shell漏洞入侵了美联邦民事行政部门FCEB下属机构的一台未修复的VMware Horizon服务器，并部署了挖矿恶意软件XMRig。FBI和CISA提到，所有尚未修复VMware系统中Log4Shell 漏洞的机构都可能遭受此类攻击。 2022年12月，安全研究人员发现了GitHub Actions的一个严重漏洞，该漏洞可造成恶意软件植入攻击，进而影响使用GitHub Actions的软件项目，如下游软件项目以恶意代码编译更新等。GitHub证实了该问题的存在，并颁发了赏金，Rust修复了易受攻击的管道。 2023年2月，半导体行业技术巨头Applied Materials称：其一家主要的供应商因遭受勒索软件攻击而被迫中断生产，这将影响其第二季度的交付。该攻击事件及正在进行的其他供应链挑战将使其第二季度的成本增加约2.5亿美元。 2023年3月，安全研究人员发现，互联网语音协议交换机（VoIP IPBX）软件开发厂商3CX的VoIP桌面客户端在通过Git进行构建时，注入了因供应链攻击而引入的恶意代码，并使用合法的3CX Ltd证书进行了数字签名，其中一个恶意DLL是利用了一个存在近10年的Windows签名验证漏洞(CVE-2013-3900)通过签名的。当用户安装应 3 用时，会加载恶意DLL，进而收集系统信息、窃取数据和凭据等，造成敏感数据泄露。3CX Phone System被全球超60万家企业使用，每天用户超过1200万。 2023年5月，网络安全研究员对适用于Linux和Unix平台的热门开源互联网路由协议套件FRRouting中网关协议BGP的7种不同实现软件进行了分析，发现存在三个漏洞，它们的CVSS评分均为6.5，可被用于在易受攻击的BGP对等体上实现拒绝服务条件。目前FRRouting用于多家厂商如NVIDIA Cumulus、DENT和SONiC中。 2、开源软件安全是软件供应链安全的重中之重 奇安信代码安全实验室通过数据分析发现，与前两年相比，开源软件自身的安全状况持续下滑，国内企业软件开发中因使用开源软件而引入安全风险的状况更加糟糕。此外，开源项目维护人员对安全问题的修复积极性较低。开源软件供应链安全风险管控依然值得持续关注，需要更大的投入。 1）开源生态发展依然迅猛，开源软件自身安全状况持续下滑 过去一年，主流开源软件包生态系统中开源项目总量增长了2