奇安信 2021年中国软件供应链安全分析报告在线下载,免费下载

2021 中国软件供应链安全分析报告 b u m o c . 5 h t i g 奇安信代码安全实验室 2021 年 6 月目录一、前言 ....................................................................................................1 二、国内企业自主开发源代码安全状况 ................................................3 1、编程语言分布情况 .............................................................................................. 3 m o c . 5 2、典型安全缺陷检出情况 ...................................................................................... 4 三、开源软件生态发展与安全状况 ........................................................5 1、开源软件生态发展状况分析 .............................................................................. 5 2、开源软件源代码安全状况分析 .......................................................................... 7 b u （1）编程语言分布情况 ...................................................................................... 7 （2）典型安全缺陷检出情况 .............................................................................. 8 h t i g 3、开源软件公开报告漏洞状况分析 ...................................................................... 9 （1）大型开源项目漏洞总数及年度增长 TOP20 ............................................... 9 （2）主流开源软件包生态系统漏洞总数及年度增长 TOP20 ......................... 11 4、开源软件活跃度状况分析 ................................................................................ 13 （1）61.6%的开源软件项目处于不活跃状态 .................................................. 13 （2）13000 多个开源软件一年内更新发布超过 100 个版本 ......................... 14 四、国内企业软件开发中开源软件应用状况 ......................................15 1、开源软件总体使用情况分析 ............................................................................ 15 （1）国内企业软件项目 100%使用开源软件 ................................................... 15 （2）流行开源软件被近 1/4 的软件项目使用 ................................................ 16 2、开源软件漏洞风险分析 .................................................................................... 17 （1）近 9 成软件项目存在已知开源软件漏洞 ................................................ 17 （2）平均每个软件项目存在 66 个已知开源软件漏洞 .................................. 17 （3）影响最广的开源软件漏洞存在于 44.3%的软件项目中 ......................... 17 （4）15 年前的开源软件漏洞仍然存在于多个软件项目中 ........................... 18 3、开源软件运维风险分析 .................................................................................... 18 （1）18 年前的老旧开源软件版本仍在被使用 ............................................... 18 （2）开源软件各版本使用非常混乱 ................................................................ 19 五、典型软件供应链安全风险实例分析 ..............................................20 1、国内某主流 OA 系统供应链安全分析 .............................................................. 20 2、国内某流行 Windows 桌面软件供应链安全分析 ............................................ 21 3、某国产网络设备固件供应链安全分析 ............................................................ 22 4、Google Chrome 浏览器供应链攻击实例分析 ................................................. 23 5、VMware Workstation 供应链攻击实例分析 ................................................... 24 m o c . 5 六、总结及建议 ......................................................................................26 附录：奇安信代码安全实验室简介 ......................................................29 h t i g b u 一、前言数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的 m o c . 5 软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。 2020 年 4 月，Rubygems 开源软件包生态系统被放入了数百个恶 b u 意软件包，这些恶意软件包的下载总量近 10 万次。例如，“atlas- h t i g client”是一个诱骗的诱饵程序包，用来仿冒“atlas_client” ，被下载了超过 2100 次。 2020 年 5 月，GitHub 披露了针对 Apache NetBeans IDE 项目的开源软件供应链攻击 Octopus Scanner，最终统计显示，有 26 个开源项目被植入了 Octopus Scanner 后门。 2020 年 12 月，全球著名的网络安全管理软件供应商 SolarWinds 遭遇国家级 APT 团伙高度复杂的供应链攻击。该攻击直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响，可任由攻击者完全操控。 2021 年 2 月，安全研究人员通过利用开源生态安全机制上的漏洞，成功侵入了微软、苹果、PayPal、特斯拉、优步等 35 家国际大 1 型科技公司的内网，这种新颖的软件供应链攻击方式被定义为依赖混淆攻击。 2021 年 3 月，PHP 的 Git 服务器被攻击，攻击者向 git.php.net 服务器上的 php-src 存储库推送了两次恶意提交，在 PHP 代码中植入了一个后门，其目标是可以通过该后门获得运行 PHP 的网站系统的远程代码执行权限。 2021 年 4 月，知名代码测试公司 Codecov 宣布其产品的 bash m o c . 5 uploader 脚本被攻击者修改，导致用户在使用 Codecov 产品时，会向攻击者的服务器发送敏感信息，从而导致攻击者可以获取用户的软件源代码等机密信息。 b u 攻击不断左移，针对软件供应链的攻击事件频发，系统性的研究 h t i g 软件供应链安全，防范软件供应链安全风险，已经迫在眉睫。2020 年，奇安信代码安全实验室依托自身在软件安全领域十余年的技术积累，针对国内软件供应链的安全状况进行了大量的研究、实践和数据分析工作，形成本报告。报告内容主要包括国内企业自主开发源代码安全状况分析、开源软件生态发展与安全状况分析、国内企业软件开发中开源软件应用状况分析、典型应用系统供应链安全风险实例分析、总结及建议等五个方面，希望可以为相关单位开展软件供应链安全相关的研究和实践工作提供借鉴和参考。 2 二、国内企业自主开发源代码安全状况源代码是软件的原始形态，位于软件供应链的源头。源代码安全是软件供应链安全的基础，其地位非常关键和重要。2020 年全年，奇安信代码安全实验室对 2001 个国内企业自主开发的软件项目源代码进行了安全缺陷检测，检测的代码总量为 335011173 行，共发现安全 m o c . 5 缺陷 3387642 个，其中高危缺陷 361812 个，整体缺陷密度为 10.11 个/千行，高危缺陷密度为 1.08