2023中國軟件供應鏈安全分析報告_第1頁
2023中國軟件供應鏈安全分析報告_第2頁
2023中國軟件供應鏈安全分析報告_第3頁
2023中國軟件供應鏈安全分析報告_第4頁
2023中國軟件供應鏈安全分析報告_第5頁
已閱讀5頁,還剩73頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

(1)超7成開源軟件項目處于不活躍狀態(tài) 16(2)超2.2萬個開源軟件一年內(nèi)更新發(fā)布超過100個版本 16 (1)主流開源生態(tài)關(guān)鍵基礎(chǔ)開源軟件TOP50 17(2)從未公開披露過漏洞的關(guān)鍵基礎(chǔ)開源軟件占比進一步升高 20(3)關(guān)鍵基礎(chǔ)開源軟件的整體運維風險仍處于較高水平 20企業(yè)軟件開發(fā)中開源軟件應用狀況 21 (1)平均每個軟件項目使用155個開源軟件 21(2)流行開源軟件被超4成的軟件項目使用 22 (1)近8成軟件項目存在容易利用的開源軟件漏洞 22(2)平均每個軟件項目存在110個已知開源軟件漏洞 23(3)影響最廣的開源軟件漏洞存在于超4成的軟件項目中 24(4)20多年前的開源軟件漏洞仍然存在于多個軟件項目中 25 (1)最流行的開源許可協(xié)議在超半數(shù)的項目中使用 26(2)1/6的項目使用了含有超、高危許可協(xié)議的開源軟件 26 (1)近30年前的老舊開源軟件版本仍在被使用 28(2)開源軟件各版本使用依然混亂 29 (1)各行業(yè)軟件項目分布情況 29(2)各行業(yè)軟件項目使用開源軟件情況 30(3)各行業(yè)軟件項目含已知開源軟件漏洞情況 31五、典型軟件供應鏈安全風險實例分析 32 、ZCS協(xié)同辦公系統(tǒng)供應鏈攻擊實例分析 33 1國軟件供應鏈安全分析報告》(/threat/portdetailreportid開源軟件生態(tài)發(fā)展與安全部分新增了開源項目維護者對他人提交安化之處。1、軟件供應鏈安全攻擊事件依然高發(fā)造2022年7月,攻擊者通過在NPM上發(fā)布包時繞過雙因子認證2FA建了1000多個用戶賬號,攻擊者利用這些賬號自動投放重漏洞,該漏洞可造成惡意軟件植入攻擊,進而影響使用GitHub進行了數(shù)字簽名,其中一個惡意DLL是利用了一個存在近10年的Windows簽名驗證漏洞(CVE-2013-3900)通過簽名的。當用戶安裝應3可被用于在易受攻擊的BGP對等體上實現(xiàn)拒絕服務條件。目前2、開源軟件安全是軟件供應鏈安全的重中之重)開源生態(tài)發(fā)展依然迅猛,開源軟件自身安全狀況持續(xù)下滑過去一年,主流開源軟件包生態(tài)系統(tǒng)中開源項目總量增長了持42)開源項目維護者對安全問題的重視度和修復積極性較低3)國內(nèi)企業(yè)因使用開源軟件而引入安全風險的狀況更加糟糕風險水平仍處于較高狀態(tài)。5低于前年水平。8642010.7810.119.850.850.60.852020年2021年2022年1、編程語言分布情況6SQL,7,0.4%Scala,6,0.4%Swift,5,0.3%OC,8,SQL,7,0.4%Scala,6,0.4%Swift,5,0.3%Ruby,8,0.5%Go,24,1.5%PythonGo,24,1.5%Python,40,2.5%C#,54,3.4%Kotlin,4,0.3%PHP,54,3.4%NodeJS,60,3.8%C/C++,105,6.6%JAVA,JAVA,1209,語言總體分布情況2、典型安全缺陷檢出情況%,12路徑遍歷(39.6%)34注入(37.3%)5注入(40.1%)6路徑遍歷(40.0%)7密碼管理(30.3%)密碼管理(31.0%)8API誤用(30.1%)API誤用(28.7%)79配置管理(24.8%)配置管理(28.0%)日志偽造(17.6%)日志偽造(12.5%)日志偽造(18.2%)1、開源軟件生態(tài)發(fā)展狀況分析底,主流開源軟件包生態(tài)系統(tǒng)中開源項目總量分別為4395386個和對Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、8源項目數(shù)量和增長率情況如下圖所示,其中開源項目數(shù)量最多的是0增長率20.9%0增長率20.9%23.0%12.4%24.4%55.8%53.6%3.1%8.6%2500000200000015000001000000500000nNPMkagistiNugetems年數(shù)量年數(shù)量687973c91Maven2NPM3ackagist0074i735465c8926Nuget07ygems82、開源軟件源代碼安全狀況分析件516.1114.96開源軟件平均缺陷密度516.1114.962521.060.990.950.990.9502020年2021年2022年(1)編程語言分布情況CCCC6,Python372,PHP,51,2.4%PHP,51,2.4%Ruby,50,2.4%Scala,39,1.9%Go,28,1.3%OC,101,4.8%Kotlin09,Java04,.6%(2)典型安全缺陷檢出情況1路徑遍歷(36.7%)23資源管理(33.0%)4輸入驗證(25.1%)5密碼管理(23.5%)6日志偽造(22.9%)7注入(21.4%)8API誤用(18.2%)9跨站腳本(15.0%)配置管理(10.8%)(3)安全問題修復確認情況率僅為36.9%。開源項目維護者對安全問題的重視程度還較低。3、開源軟件公開報告漏洞狀況分析根據(jù)奇安信代碼安全實驗室監(jiān)測與統(tǒng)計,截至2022年底,CVE/NVD、CNNVD、CNVD等公開漏洞庫中共收錄開源軟件相關(guān)漏洞httpswwwradareorg(2)主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及年度增長TOP201rFlow2raCoreuget3aven4lectronCrossplatformcationshellPM5ApacheTomcataven6lectronCrossplatformicationshellaven7POCMSgist89FFmpeg-iOSMagentoCoregistonRailssAdmingistgoDolibarrERP&CRMgistDrupal(core)gisteeworkgistakavengo2022年一年間,主流開源軟件包生態(tài)系統(tǒng)中公開報告漏洞數(shù)量年漏洞增量1rFlow2aven3lectronCrossplatformcationshellPM4lectronCrossplatformcationshellaven5eb6regist7smcmsaven8oprogramminglanguage9gistPMgistnitergistattermostgistavenPOCMSgistChatPMiPlatformaven4、開源軟件活躍度狀況分析(1)超7成開源軟件項目處于不活躍狀態(tài)我們將超過一年未更新發(fā)布過版本的開源軟件項目定義為不活現(xiàn)出逐年升高的趨勢。對八個典型的開源軟件包生態(tài)系統(tǒng)進行分析和比較發(fā)現(xiàn),除1aven2PM3gist456uget7s8(2)超2.2萬個開源軟件一年內(nèi)更新發(fā)布超過100個版本系統(tǒng)中項目數(shù)量相同,呈現(xiàn)出逐年上升的趨勢。1PM2aven3uget45n6gist7s85、關(guān)鍵基礎(chǔ)開源軟件分析去年的報告中,我們新增了“關(guān)鍵基礎(chǔ)開源軟件”安全狀況分析,即被眾多其他開源軟件所依賴(根據(jù)經(jīng)驗具體定義為直接依賴數(shù)(1)主流開源生態(tài)關(guān)鍵基礎(chǔ)開源軟件TOP50Rubygems等主流開源生態(tài)中直接依賴數(shù)大于1000的開源軟件共有1aven2ms3scalalangscalalibraryaven4erms5ms6Newtonsoft.Jsonuget7fjslfjapiaven8PM9tsPMPMPMgistPMuzzlegistsavaguavaavenbrainskotlinkotlinavenPMtgbacklogbackclassicavenPMockitomockitocoreavenPMtPMmljacksoncorejacdatabindavenPMchecommonscommonsavenbrainskotlinkotlinavencommonsio:commons-ioaventplotlibreclojureavenPMtlomboklombokavenLactdomPMgistmentPMavenodegsongsonavenmsorgslfjslfjlogj2avenssertjassertjcoreavenyiigistportmsms(2)從未公開披露過漏洞的關(guān)鍵基礎(chǔ)開源軟件占比進一步升高開源項目,也有很多沒有漏洞披露流程的開源項目。(3)關(guān)鍵基礎(chǔ)開源軟件的整體運維風險仍處于較高水平廠或者基金會的支持,比去年還減少了一款,依然有9款軟件的Github貢獻者數(shù)量小于100,NPM生態(tài)中的fs-extra還是由JP四、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應用狀況1、開源軟件總體使用情況分析(1)平均每個軟件項目使用155個開源軟件量(2)流行開源軟件被超4成的軟件項目使用ApacheCommonsLang6%SimpleLoggingFacadeforJava(SLF4J)43.1%CommonsIOApacheCommonsCodecNprocessortpClientamework7.1%ApacheCommonsCollections2、開源軟件漏洞風險分析(1)近8成軟件項目存在容易利用的開源軟件漏洞(2)平均每個軟件項目存在110個已知開源軟件漏洞漏洞(涉及到8289個唯一CVE漏洞編號),平均每個軟件項目存在(3)影響最廣的開源軟件漏洞存在于超4成的軟件項目中從漏洞的影響度來分析,影響范圍最大的開源軟件漏洞為CVE-EFasterXMLjackson-databindCVE20039%FasterXMLjackson-databindCVE20049%SpringFramework洞CVE3-208610%SpringFramework洞CVE3-208639%ApacheCommonsFileUploadCVE3-24998SpringFramework遠程代碼CVE2-22965SpringFramework輸入驗證CVE2-22970VmwareSpringFramework代CVE16-1000027FasterXMLjackson-databindCVE3-351167.1%VmwareSpringFramework安CVE2-22968稱ESpringFramework遠程代碼執(zhí)行漏洞CVE2-22965VmwareSpringFramework代碼問題CVmwareSpringFramework安全漏洞CVE1-220604.1%VmwareSpringFramework安全漏洞CVE1-22096ApacheHttpClient安全漏洞CVE2020-13956CVE2020-11022CVE2020-11023CVE2019-11358Fastjson碼問題漏洞CVE2-25845FasterXMLjackson-databind代碼CVE840(4)20多年前的開源軟件漏洞仍然存在于多個軟件項目中ECVE2-00592002-03-15LibPNG超闊頁邊空白圖象處理CVE2-06601CVE-2002-13632-264LinuxKernel混雜模式狀態(tài)漏洞CVE-2002-197612-311CVE3-01072-23CVE4-02302004-08-181CVE4-04212004-08-181MicrosoftMSNMessengerPNG圖片解析遠程代碼執(zhí)行漏洞CVE4-05971-234libpngpng_handle_iCCPNULLCVE4-05981-234libpng逐行讀取遠程整數(shù)溢出CVE4-05991-2343、開源軟件許可協(xié)議風險分析(1)最流行的開源許可協(xié)議在超半數(shù)的項目中使用eApacheLicense2.0MITLicenseBSDClause"New"or"Revised"LicenseGNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev1.0orlaterGNUGeneralPublicLicensev2.0orlater.7%icDomain%BSDClause"Simplified"License.3%GNUGeneralPublicLicensev3.0only(2)1/6的項目使用了含有超、高危許可協(xié)議的開源軟件碼”等。奇安信代碼安全實驗室將限制性較為苛刻的一類協(xié)議定義為超議GNUGeneralPublicLicensev3.0onlyGNUGeneralPublicLicensev3.0orlaterGNUAfferoGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0orlaterGNUFreeDocumentationLicensev1.2GNUFreeDocumentationLicensev1.2only7GNUGeneralPublicLicensev3.0orlater7GNUGeneralPublicLicensev3.0only21GNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev2.0orlaterGNULesserGeneralPublicLicensev2.1orlaterGNULibraryGeneralPublicLicensev2orlaterGNULesserGeneralPublicLicensev2.1onlyMozillaPublicLicense1.1EclipsePublicLicense1.0CreativeCommonsAttributionShareAlike0UnportedGNULibraryGeneralPublicLicensev2onlyGNULesserGeneralPublicLicensev2.1only4、開源軟件運維風險分析(1)近30年前的老舊開源軟件版本仍在被使用613.1-31-05-0932001-12-1582002-05-141jaxen-corefromjdom1.115-244ApacheXalan-035(2)開源軟件各版本使用依然混亂量ameworkodeApacheTomcatotNettyProjectHibernateORMestContextFrameworkNprocessor5、不同行業(yè)軟件項目開源使用風險分析(1)各行業(yè)軟件項目分布情況軟件項目按行業(yè)分布情況2.8%229,8.7%9%(2)各行業(yè)軟件項目使用開源軟件情況件較少,9409402001860(3)各行業(yè)軟件項目含已知開源軟件漏洞情況0各行業(yè)軟件項目含已知開源軟件漏洞平均數(shù)量(個)122

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論