2021中国软件供应链安全分析报告

2021 中国软件供应链安全 分析报告 奇安信代码安全实验室 2021年6月 目 录 一、前言 .................................................................................................... 1 二、国内企业自主开发源代码安全状况 ................................................ 3 1、编程语言分布情况 .............................................................................................. 3 2、典型安全缺陷检出情况 ...................................................................................... 4 三、开源软件生态发展与安全状况 ........................................................ 5 1、开源软件生态发展状况分析 .............................................................................. 5 2、开源软件源代码安全状况分析 .......................................................................... 7 （1）编程语言分布情况 ...................................................................................... 7 （2）典型安全缺陷检出情况 .............................................................................. 8 3、开源软件公开报告漏洞状况分析 ...................................................................... 9 （1）大型开源项目漏洞总数及年度增长TOP20 ............................................... 9 （2）主流开源软件包生态系统漏洞总数及年度增长TOP20 ......................... 11 4、开源软件活跃度状况分析 ................................................................................ 13 （1）61.6%的开源软件项目处于不活跃状态 .................................................. 13 （2）13000多个开源软件一年内更新发布超过100个版本 ......................... 14 四、国内企业软件开发中开源软件应用状况 ...................................... 15 1、开源软件总体使用情况分析 ............................................................................ 15 （1）国内企业软件项目100%使用开源软件 ................................................... 15 （2）流行开源软件被近1/4的软件项目使用 ................................................ 16 2、开源软件漏洞风险分析 .................................................................................... 17 （1）近9成软件项目存在已知开源软件漏洞 ................................................ 17 （2）平均每个软件项目存在66个已知开源软件漏洞 .................................. 17 （3）影响最广的开源软件漏洞存在于44.3%的软件项目中 ......................... 17 （4）15年前的开源软件漏洞仍然存在于多个软件项目中 ........................... 18 3、开源软件运维风险分析 .................................................................................... 18 （1）18年前的老旧开源软件版本仍在被使用 ............................................... 18 （2）开源软件各版本使用非常混乱 ................................................................ 19 五、典型软件供应链安全风险实例分析 .............................................. 20 1、国内某主流OA系统供应链安全分析 .............................................................. 20 2、国内某流行Windows桌面软件供应链安全分析 ............................................ 21 3、某国产网络设备固件供应链安全分析 ............................................................ 22 4、Google Chrome浏览器供应链攻击实例分析 ................................................. 23 5、VMware Workstation供应链攻击实例分析 ................................................... 24 六、总结及建议 ...................................................................................... 26 附录：奇安信代码安全实验室简介 ...................................................... 29 1 一、前言 数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。 2020年4月，Rubygems开源软件包生态系统被放入了数百个恶意软件包，这些恶意软件包的下载总量近10万次。例如，“atlas-client”是一个诱骗的诱饵程序包，用来仿冒“atlas_client”，被下载了超过2100次。 2020年5月，GitHub披露了针对 Apache NetBeans IDE 项目的开源软件供应链攻击Octopus Scanner，最终统计显示，有26个开源项目被植入了Octopus Scanner后门。 2020年12月，全球著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击。该攻击直接导致包括美国关键基础设施、军队、政府等在内的超过18000家客户全部受到影响，可任由攻击者完全操控。 2021年2月，安全研究人员通过利用开源生态安全机制上的漏洞，成功侵入了微软、苹果、PayPal、特斯拉、优步等35家国际大 2 型科技公司的内网，这种新颖的软件供应链攻击方式被定义为依赖混淆攻击。 2021年3月，PHP的Git服务器被攻击，攻击者向git.php.net服务器上的php-src存储库推送了两次恶意提交，在PHP代码中植入了一个后门，其目标是可以通过该后门获得运行PHP的网站系统的远程代码执行权限。 2021年4月，知名代码测试公司Codecov宣布其产品的bash uploader脚本被攻击者修改，导致用户在使用Codecov产品时，会向攻击者的服务器发送敏感信息，从而导致攻击者可以获取用户的软件源代码等机密信息。 攻击不断左移，针对软件供应链的攻击事件频发，系统性的研究软件供应链安全，防范软件供应链安全风险，已经迫在眉睫。2020年，奇安信代码安全实验室依托自身在软件安全领域十余年的技术积累，针对国内软件供应链的安全状况进行了大量的研究、实践和数据分析工作，形成本报告。报告内容主要包括国内企业自主开发源代码安全状况分析、开源软件生态发展与安全状况分析、国内企业软件开发中开源软件应用状况分析、典型应用系统供应链安全风险实例分析、总结及建议等五个方面，希望可以为相关单位开展软件供应链安全相关的研究和实践工作提供借鉴和参考。 3 二、国内企业自主开发源代码安全状况 源代码是软件的原始形态，位于软件供应链的源头。源代码安全是软件供应链安全的基础，其地位非常关键和重要。2020年全年，奇安信代码安全实验室对2001个国内企业自主开发的软件项目源代码进行了安全缺陷检测，检测的代码总量为335011173行，共发现安全缺陷3387642个，其中高危缺陷361812个，整体缺陷密度为10.11个/千行，高危缺陷密度为1.08个/千行。 1、编程语言分布情况 在被检测的2001个国内企业自主开发的软件项目中，使用数量排名前3的编程语言为Java、PHP、C/C++，对应的软件项目数量分别为1492个、204个和97个。可以看出，相关国内企业在进行软件开发时的首选语言是Java语言，占比高达75%。编程语言的总体分布情况如下图所示。 1492, 75%204, 10%97, 5%61, 3%50, 3%44, 2%41, 2%6, 0%5, 0%1, 0%编程语言总体分布情况JavaPHPC/C++PythonJavascriptGoC#SwiftOCCobol 4 2、典型安全缺陷检出情况 输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。典型安全缺陷的检出率可以体现出软件源代码的基本安全状况（检出率指含有某类缺陷的软件项目数占软件项目总数的比例）。在被检测的2001个软件项目中，十类典型安全缺陷的总体检出率为77.8%，每类典型缺陷的检出率及排名如下表所示。 排名 缺陷类型 检出率 1 输入验证 50.8% 2 路径遍历 39.6% 3 跨站脚本 39.5% 4 注入 37.3% 5 NULL引用 31.8% 6 资源管理 31.6% 7 密码管理 31.0% 8 API误用 28.7% 9 配置管理 28.0% 10 日志伪造 18.2% 5 三、开源软件生态发展与安全状况 Gartner表示，现代软件大多数是被“组装”出来的，不是被“开发”出来的。据Forrester统计，软件开发中，80-90%的代码来自于开源软件。因此，现代软件的源代码绝大多数