安全风险研究报告年开源软件供应链国家计算机网络应急技术处理协调中心年月前言开源是指源代码文档等设计内容开放的开发模式是群智协同开放共享持续创新的理念和生产方式年根据发布的开源安全和风险分析报告显示开源使用数量占比较高在教育金融医疗等传统行业渗透率已超过开源软件已成为企业构建信息技术的重要选择国家政策上年月日开源首次被明确列入中华人民共和国国民经济和社会发展第十四个五年规划和年远景目标纲要支持数字技术开源社区等创新联合体发展完善开源知识产权和法律体系鼓励企业开放软件源代码硬件设计和应用服务开源蓬勃发展一方面可以突破技术壁垒推动创新另一方面考虑到国际竞争关系错综复杂开源软件安全作为软件供应链安全的重要环节面临着安全漏洞知识产权软件供应链安全等相关风险在此背景下认识和了解开源安全风险情况是至关重要的国家互联网应急中心联合棱镜七彩开源安全研究团队持续对开源软件供应链安全进行跟踪分析年开源软件风险研究报告主要从热门开源软件视角出发对开源软件安全风险进行了分析本报告从全新视角带来开源安全风险新的发现与突破报告共分为五部分第一部分首先介绍开源漏洞的发展现状及趋势第二部分聚焦开源组件生态库的安全风险第三部分重点围绕组件按依赖层级漏洞传播范围分析第四部分对文件级漏洞潜在安全风险及波及范围进行讨论第五部分对开源使用者和关注者如何在开源领域蓬勃发展下更安全的拥抱开源生态提出了建设性意见目录前言一开源漏洞发展现状及趋势发现一开源软件漏洞整体呈增长趋势年增长率略有下降发现二官方未收录的开源软件漏洞数逐年递增发现三开源软件漏洞由披露到首次公开时间长达年发现四近年高危及以上开源漏洞占比均超发现五年最主要缺陷类型为二开源组件生态安全风险分析发现六开源组件生态中的漏洞数呈上涨趋势年环比增长发现七近年中仓库漏洞数量最多发现八超半数仓库的漏洞数均较上年有所增长发现九年高危漏洞占比最高相比去年增加倍左右发现十年含高危以上漏洞占比最多仓库是发现十一平均每版本漏洞最多的组件约五成来自仓库三组件漏洞依赖层级传播范围分析发现十二一级传播影响范围扩大倍二级传播影响范围扩大倍发现十三仓库中的组件经轮传播影响组件数量最多发现十四一级传播影响范围最广的仓库是发现十五二级传播影响范围最广的仓库是发现十六传播影响范围最小的仓库是四开源文件潜在漏洞风险传播分析发现十七超漏洞文件在开源项目具有同源文件发现十八漏洞文件在开源项目中传播范围扩大倍案例分析五开源安全风险建议一开源漏洞发展现状及趋势开源软件具有代码公开易获取可重用的特点这一特点是开源软件热度攀升的重要原因随着开源软件的广泛使用一旦软件发现安全漏洞必将给开发安全团队带来严峻的挑战然而开源漏洞信息往往散落分布在各大社区很多漏洞信息不能及时被官方收录同时对于软件使用者由于缺少漏洞信息跟踪能力使得漏洞修复具有滞后性提升了软件被攻击的风险为软件供应链安全管控增加了难度本次研究收录了官方漏洞库开源社区等渠道的数据并统一收录整理成开源漏洞知识库通过从中选取年至年发布的开源漏洞为研究对象本报告展示了近年开源安全漏洞发展现状及趋势发现一开源软件漏洞整体呈增长趋势年增长率略有下降图开源漏洞时间分布根据调查结果相比年漏洞数据近年的漏洞数量均有不国家信息安全漏洞共享平台美国国家漏洞库通用漏洞披露库等同程度增长年是开源项目快速增长的一年根据官方数据显示代码仓库中超过的开源项目创建于年年新增开源漏洞数也创下近年新高新增个漏洞相较于年翻了倍年漏洞增长速度最快环比增长率为年与年增长率略有下降年发布的漏洞数较年发布漏洞数少了条发现二官方未收录的开源软件漏洞数逐年递增图官方未收录开源漏洞情况对官方网站进行统计可发现年发布的开源漏洞中未被官方收录漏洞有个占年发布漏洞总数的官方未收录数据呈上长趋势增长率逐年递增年环比年增长速度达发现三开源软件漏洞由披露到首次公开时间长达年年发布的开源漏洞中编号为的内核的驱动程序的缓冲区溢出漏洞由披露到首次公开时间长达年信息在年月日披露该漏洞于年月日获得编号但未公开漏洞具体信息直到年月日官方才将其发布开源软件的使用者仅关注官方漏洞库如等可能无法及时获取漏洞信息需综合考虑更多渠道的漏洞数据发现四近年高危及以上开源漏洞占比均超图含高危以上漏洞占比调查结果显示近年高危及以上漏洞占比逐年递增从年占比增长至年占比其中年至年高危及以上漏洞占比均超过年超危漏洞占比为高危漏洞占比为占年新增漏洞超成图年漏洞危害等级占比发现五年最主要缺陷类型为图年开源漏洞缺陷类型调查结果显示缺陷类型数量最多占年新增开源漏洞的左右表列出了缺陷类型这些缺陷类型很容易并被利用往往通过系统信息暴露窃取数据或阻止应用程序正常工作等方式对系统造成安全风险了解开源漏洞可以帮助开发人员测试人员用户项目经理以及安全研究人员深入了解当前最严重的安全漏洞表年开源漏洞缺陷类型编号中文名称个数在页面生成时对输入的转义处理不恰当跨站脚本内嵌的恶意代码未加控制的资源消耗资源穷尽信息暴露输入验证不恰当对生成代码的控制不恰当代码注入内存缓冲区边界内操作的限制不恰当跨界内存读命令中使用的特殊元素转义处理不恰当命令注入缺少必要的密码学步骤二开源组件生态安全风险分析开源组件生态蓬勃发展重要原因是组件独立可复用组件化可以大幅度提高开发效率可测试性可复用性提升应用性能同时组件化能够屏蔽逻辑帮助迅速定位问题易于维护和迭代更新组件标准化使得优质好用的组件越来越多用户也更愿意使用形成一个良性循环的开源组件生态库开源组件被广泛使用根据官方数据显示仓库数据量已达万仓库累计下载量超亿仓库累计下载量超亿仓库使用人数超过万本报告选取了这个主流的仓库作为研究对象分析近年各仓库新增漏洞数据帮助解开源组件生态安全风险情况发现六开源组件生态中的漏洞数呈上涨趋势年环比增长根据调查结果近年开源组件生态中漏洞数逐年递增其中年新增漏洞数为环比去年增长年增长速度最快环比增长近年增长速度呈上升趋势年新增漏洞数是年的倍图开源组件生态漏洞时间分布发现七近年中仓库漏洞数量最多图近年中各组件仓库漏洞情况调查结果显示近年中漏洞数量最多是仓库漏洞数量为个仓库漏洞数量最少漏洞数量为个平均每个仓库漏洞数量为个发现八超半数仓库的漏洞数均较上年有所增长图近年各仓库漏洞分布图调查结果显示近年种仓库的漏洞数均有不同程度的上涨仓库漏洞增长速度最快相比去年翻倍仓库和仓库增长率其次环比增长率分别为和仓库年新增漏洞数基本与去年持平发现九年高危漏洞占比最高相比去年增加倍左右调查结果显示年新增漏洞中高危漏洞占比最高数量为个超危漏洞逐年递增年数量有所下降环比下降年新增数量最多新增数量为个高危漏洞逐年递增年增长速度最快相比去年增加倍中危漏洞呈现平稳增长趋势年增长速度最快环比增长率为低危漏洞逐年递增年增长速度有所下降年新增数量最多新增数量为个图近年新增漏洞风险等级时间分布图近年新增漏洞各风险等级占比发现十年含高危以上漏洞占比最多仓库是图年各仓库中含高危以上漏洞占比调查结果显示超八成组件含高危以上漏洞占比均超过年仓库含高危以上漏洞占比最多占仓库新增漏洞的仓库含高危以上漏洞占比最少占年仓库新增漏洞的发现十一平均每版本漏洞最多的组件约五成来自仓库针对年各仓库新增漏洞分析得到平均每版本漏洞数量最多的组件考虑到各仓库不同组件的版本数量各不相同本报告采取平均每版本漏洞数作为计算依据即平均每版本漏洞数组件全版本漏洞数组件版本数研究发现平均版本漏洞最多的中仓库的组件数占比最多共计个占比约成左右仓库的组件数排名第二共计个平均版本漏洞数最多的组件来自仓库漏洞数量为个下图列示各仓库中平均版本漏洞组件分布图平均版本漏洞最多组件仓库分布图仓库组件分布图仓库组件分布图仓库组件分布图和仓库组件分布三组件漏洞依赖层级传播范围分析软件工程中经常引用组件来实现某些功能组件之间存在相互依赖关系按依赖关系可分为直接依赖和间接依赖即组件依赖组件组件依赖组件那么组件组件和组件组件的依赖关系称为直接依赖而组件组件的依赖关系称为间接依赖组件存在安全漏洞组件之间又存在相互依赖关系导致漏洞在组件之间存在传播风险本报告以个仓库中含已公开安全漏洞的开源组件为研究对象共计个对其做两轮漏洞传播模拟实验研究开源组件漏洞依赖层级传播范围第一轮实验查找直接依赖这个开源组件的组件集合为方便定义称该组件范围为一级传播第二轮实验查找直接依赖一级传播组件的组件集合该组件集合均间接依赖这个开源组件称该组件范围为二级传播发现十二一级传播影响范围扩大倍二级传播影响范围扩大倍图组件漏洞依赖层级传播范围截至年月个仓库中含已公开安全漏洞的开源组件共计个调查结果显示原始样本中个组件受组件依赖关系的影响一级传播一共波及个组件其影响范围扩大倍第二轮实验中发现二级传播一共波及个组件影响范围相比原始样本个组件扩大倍发现十三仓库中的组件经轮传播影响组件数量最多图各仓库组件漏洞传播范围调查结果显示个仓库选取样本中仓库原始含漏洞组件数量为个仓库漏洞组件数量在原始样本中仅次于仓库排在第二位经轮模拟传播实验发现组仓库中波及范围最广是仓库仓库原始样本中共有个含有漏洞的组件经过一级传播共波及个组件漏洞的影响范围扩大了倍二级传播共波及个组件范围比最初个组件扩大了倍发现十四一级传播影响范围最广的仓库是图各仓库一级传播影响范围调查结果显示仓库原始含漏洞组件数量为个为个仓库中原始样本中含漏洞组件数量的第位经次传播一级传播波影响范围最广的仓库是经过一级传播共波及个组件漏洞的影响范围扩大了倍发现十五二级传播影响范围最广的仓库是调查结果显示仓库原始含漏洞组件数量为个为组中含漏洞组件数量最少的仓库经次传播二级传播波影响范围最广的仓库是经过一级传播共波及个组件漏洞的影响范围扩大了倍二级传播共波及个组件范围比最初个组件扩大了倍图各仓库二级传播影响范围发现十六传播影响范围最小的仓库是图两轮漏洞传播组件漏洞影响范围分布图调查结果显示仓库原始含漏洞组件数量为个经过次传播组仓库中受漏洞影响范围最小是仓库经过一级传播共波及个组件漏洞的影响范围扩大了倍二级传播共波及个组件范围比最初个组件扩大了倍从整体上看开源组件生态中漏洞影响范围远超预期组件间的依赖层级关系会导致组件之间漏洞存在传播风险因此要保证软件的安全风险控制应通过自动化的手段识别软件工程中的组件成分梳理组件间的依赖关系在已知成分清单基础上对组件漏洞风险实施管控同时还要对已知成分进行动态监控建立组件生态的漏洞威胁警报在动态变化中将安全漏洞风险降到最低

pdf文档 CNCERT 2021年开源软件供应链安全风险研究报告

安全报告 > 安全 > 文档预览
中文文档 25 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共25页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
CNCERT 2021年开源软件供应链安全风险研究报告 第 1 页 CNCERT 2021年开源软件供应链安全风险研究报告 第 2 页 CNCERT 2021年开源软件供应链安全风险研究报告 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-05-26 11:35:21上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
热门文档
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。