2023中國軟件供應鏈安全分析報告-2023.08

2023中國軟件供應鏈安全分析報告奇安信代碼安全實驗室2023?

7o1目

錄一、概述

....................................................................................................11、軟件供應鏈安全攻ü?件依然高發(fā)...............................................12、開源軟件安全是軟件供應鏈安全的重中之重...............................3D、國內(nèi)企業(yè)自主開發(fā)源代碼安全狀況................................................51、編程語言分布情況

...........................................................................52、典型安全缺陷檢?情況

...................................................................6三、開源軟件生態(tài)發(fā)展P安全狀況........................................................71、開源軟件生態(tài)發(fā)展狀況分析

...........................................................72、開源軟件源代碼安全狀況分析

.......................................................9?1ā編程語言分布情況..................................................................10?2ā典型安全缺陷檢?情況..........................................................10?3ā安全問題修復確認情況..........................................................113、開源軟件}開報告漏洞狀況分析.................................................11?1ā大型開源項目漏洞總數(shù)及?度增長

TOP20

.........................12?2ā主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及?度增長

TOP20

.....144、開源軟件活躍度狀況分析

.............................................................15I?1ā超

7成開源軟件項目處于O活躍狀態(tài)..................................16?2ā超

2.2萬個開源軟件一?內(nèi)更新發(fā)布超過

100個版本.......165、關鍵基礎開源軟件分析

.................................................................17?1ā主流開源生態(tài)關鍵基礎開源軟件

TOP50

.............................17?2āD未}開披露過漏洞的關鍵基礎開源軟件占比進一步升高............................................................................................................20?3ā關鍵基礎開源軟件的整體?維風險?處于較高水..........20四、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應用狀況......................................211、開源軟件總體使用情況分析

.........................................................21?1ā均每個軟件項目使用

155個開源軟件..............................21?2ā流行開源軟件被超

4成的軟件項目使用..............................222、開源軟件漏洞風險分析

.................................................................22?1āà

8成軟件項目存在容易利用的開源軟件漏洞..................22?2ā均每個軟件項目存在

110個已知開源軟件漏洞..............23?3ā影響最廣的開源軟件漏洞存在于超

4成的軟件項目中......24?4ā20

多?前的開源軟件漏洞?然存在于多個軟件項目中.....253、開源軟件許可協(xié)議風險分析

.........................................................26?1ā最流行的開源許可協(xié)議在超半數(shù)的項目中使用..................26?2ā1/6的項目使用了含p超、高危許可協(xié)議的開源軟件........26II4、開源軟件?維風險分析

.................................................................28?1āà

30?前的老舊開源軟件版本?在被使用........................28?2ā開源軟件各版本使用依然混亂..............................................295、O\行業(yè)軟件項目開源使用風險分析.........................................29?1ā各行業(yè)軟件項目分布情況......................................................29?2ā各行業(yè)軟件項目使用開源軟件情況......................................30?3ā各行業(yè)軟件項目含已知開源軟件漏洞情況..........................31五、典型軟件供應鏈安全風險實例分析..............................................321、某主流企業(yè)級無線路由器供應鏈攻ü實例分析.........................322、ZCS

協(xié)\辦}系統(tǒng)供應鏈攻ü實例分析.....................................333、多款國產(chǎn)操作系統(tǒng)供應鏈攻ü實例分析.....................................354、某國產(chǎn)

CMS

系統(tǒng)供應鏈攻ü實例分析.......................................37~、總結及建議

......................................................................................39附錄：奇安信代碼安全實驗室簡介......................................................42III一、概述過去的N?，各界對軟t供à鏈安全的s注度依然高漲，相s安全攻ü?t也持續(xù)增à2~m，奇安信代碼安全實驗室在前n期:中?軟t供à鏈安全V析?告;?/threat/reportdetail?report_id=161ā的基礎P，è?本V析?告2作~該系列?度V析?告的第O期，本?告繼續(xù)針對?內(nèi)企業(yè)自開發(fā)的源代碼1開源軟t生態(tài)1?內(nèi)企業(yè)軟t開發(fā)中開源軟tà用等的安全狀況，以及y型à用系統(tǒng)供à鏈安全風險實例?ì深入V析，并總結?勢和ù化2相比于去?的?告，本?告p以Q新增之處?在開源軟t生態(tài)發(fā)展P安全部V新增了開源項目維?者對他人e交安全問題的修復確認情況ā在企業(yè)軟t開發(fā)中的開源軟tà用部V新增了對O\ì業(yè)軟t項目開源使用風險的V析，對開源許?`ˉ的風險V析V別統(tǒng)計了超t和高t開源許?`ˉ的使用情況ā在y型軟t供à鏈安全風險實例部V，通過多個新的實例再次驗證了因軟t供à鏈的復g性，開源軟t的<老漏洞=發(fā)揮<0day漏洞=攻ü作用的狀況2感t趣的讀者閱讀時?T點s注P述ù化之處21、軟件供應鏈安全攻ü?件依然高發(fā)在過去的N?中，針對軟t供à鏈的安全攻ü?t持續(xù)增à，r的t害也愈發(fā)oT22022?

7o，攻ü者通過在

NPMP發(fā)布包時繞過?因子認證1(2FA)，創(chuàng)建了

1000多個用戶賬號，攻ü者利用à?賬號自ú投1283個包含挖礦腳本

eazyminer的惡意模塊，利用數(shù)據(jù)?1Web等所在服á器的機器閑置資源?ì挖礦，如果開發(fā)者安裝了à?包，則b在被調(diào)用時挖掘門羅幣22022

?

11

o，美?

FBI

和

CISA

發(fā)布聯(lián)合|告指?，未x]的伊朗組?利用

Log4Shell漏洞入侵了美聯(lián)邦民?ì?部門

FCEBQ屬機構的Nā未修復的

VMware

Horizon服á器，并部署了挖礦惡意軟t

XMRig2FBI和

CISAe到，所p尚未修復

VMware系統(tǒng)中

Log4Shell漏洞的機構都?能遭?m類攻ü22022?

12o，安全研究人員發(fā)現(xiàn)了

GitHub

Actions的N個oT漏洞，該漏洞?

r惡意軟t植入攻ü，?而?響使用

GitHubActions的軟t項目，如Q游軟t項目以惡意代碼編譯更新等2GitHub證實了該問題的`在，并頒發(fā)了賞金，Rust修復了易?攻ü的管道22023?

2o，半導體ì業(yè)技術巨頭

Applied

Materialsā?wN家要的供à商因遭?勒索軟t攻ü而被迫中斷生產(chǎn)，à將?響w第D季度的交付2該攻ü?t及l(fā)在?ì的w他供à鏈挑戰(zhàn)將使w第D季度的r本增àt

2.5億美元22023?

3o，安全研究人員發(fā)現(xiàn)，à聯(lián)網(wǎng)語音`ˉ交換機?VoIPIPBXā軟t開發(fā)廠商

3CX的

VoIP桌面ü戶端在通過

Git?ì構建時，注入了因供à鏈攻ü而引入的惡意代碼，并使用合法的

3CX

Ltd證書?ì了數(shù)_簽]，w中N個惡意

DLL是利用了N個`在à

10

?的Windows簽]驗證漏洞(CVE-2013-3900)通過簽]的2`用戶安裝à2用時，bà載惡意

DLL，?而收集系統(tǒng)信息1竊×數(shù)據(jù)和憑據(jù)等，r敏感數(shù)據(jù)泄露23CX

Phone

System被全球超

60萬家企業(yè)使用，每y用戶超過

1200萬22023?

5o，網(wǎng)t安全研究員對?用于

Linux和

Unixā的熱門開源à聯(lián)網(wǎng)路由`ˉ套t

FRRouting

中網(wǎng)s`ˉ

BGP

的

7

種O\實現(xiàn)軟t?ì了V析，發(fā)現(xiàn)`在O個漏洞，它們的

CVSS評V均~

6.5，?被用于在易?攻ü的

BGP

對等體P實現(xiàn)拒?服á條t2目前FRRouting用于多家廠商如

NVIDIACumulus1DENT和

SONiC中22、開源軟件安全是軟件供應鏈安全的重中之重奇安信代碼安全實驗室通過數(shù)據(jù)V析發(fā)現(xiàn)，P前n?相比，開源軟t自身的安全狀況持續(xù)Q滑，?內(nèi)企業(yè)軟t開發(fā)中因使用開源軟t而引入安全風險的狀況更à糟糕2m外，開源項目維?人員對安全問題的修復?極性較P2開源軟t供à鏈安全風險管?依然值得持續(xù)s注，需要更大的投入21ā開源生態(tài)發(fā)展依然迅猛，開源軟t自身安全狀況持續(xù)Q滑過去N?，流開源軟t包生態(tài)系統(tǒng)中開源項目總量增長了25.1%，開源生態(tài)發(fā)展依然迅猛2Pm\時，開源軟t漏洞數(shù)量也持續(xù)增長，2022?新增的開源軟t漏洞~

7682個āO?來O活躍的開源項目占比D

61.6%169.9%

漸升高ó

72.1%2?據(jù)<奇安信開源項目檢測計劃=的實測數(shù)據(jù)顯示，O?來開源軟t的總體缺陷密度和高t缺陷密度呈現(xiàn)?

?P升的?勢，均處于較高水ā十類y型缺陷3的總體檢?率~

72.3%，P去?

73.5%相`，à高于前?的

56.3%2總體來看，開源軟t自身的安全問題愈發(fā)o峻22ā開源項目維?者對安全問題的T視度和修復?極性較P2022?，<奇安信開源項目檢測計劃=共U各被測開源項目的維?者à饋

1484

個安全問題，僅p

547

個得到確認并修復，w他

937個à饋O修復1未à饋，或無人處理，安全問題的修復率僅~

36.9%2另據(jù)統(tǒng)計發(fā)現(xiàn)，N個安全問題De交到維?人員à饋確認并修復，時間較長的?長達N?甚ó更久23ā?內(nèi)企業(yè)因使用開源軟t而引入安全風險的狀況更à糟糕2022?，奇安信代碼安全實驗室對

2631個?內(nèi)企業(yè)軟t項目中使用開源軟t的情況?ìV析發(fā)現(xiàn)?均每個項目使用

155個開源軟t，à高于之前的

126和

127個ā`在已知開源軟t漏洞的項目占比達

91.6%，均每個項目`在

110個已知開源軟t漏洞，項目中最?老的開源軟t漏洞的發(fā)現(xiàn)時間?追溯ó

21

?前ā1/6

的項目中使用了含p超t或高t許?`ˉ的開源軟tāà

30

?前的老?開源軟tx本?然在使用，\N開源軟t各x本的使用依然混亂2整體的安全風險狀況P前n?相比更à糟糕，風險水?處于較高狀態(tài)2另N方面，s們發(fā)現(xiàn)

2022

?許多機構和企業(yè)更às注開源軟t供à鏈安全，N?機構和企業(yè)基于規(guī)范的流程，在開源安全治理工x的輔?Q開展相s工作2但D目前?內(nèi)企業(yè)軟t開發(fā)中使用開源軟t的安全風險狀況來看，à?經(jīng)驗1方法和工x?需要?Nn的持續(xù)è廣和à用24D、國內(nèi)企業(yè)自主開發(fā)源代碼安全狀況軟t源代碼安全是軟t供à鏈安全的基礎22022?全?，奇安信代碼安全實驗室對

1589

個?內(nèi)企業(yè)自開發(fā)的軟t項目源代碼?ì了安全缺陷檢測，檢測的代碼總量~

347814428ì，共發(fā)現(xiàn)安全缺陷3751450個，w中高t缺陷

300459個，整體缺陷密度~

10.78個/千ì，高t缺陷密度~

0.85個/千ì2P前n?相比，整體缺陷密度略微升高，高t缺陷密度較去?p所à，但P于前?水2自主開發(fā)軟件均缺陷密度三?對比1210.7810.119.8510864201.080.850.652021?2020?2022?缺陷密度(個/千行)高危缺陷密度(個/千行)1、編程語言分布情況在

1589個?內(nèi)企業(yè)自開發(fā)的軟t項目中，共使用了

14種編程語言，使用數(shù)量排]前

3的~

Java1C/C++1NodeJS，對à的軟t項目數(shù)量V別~

1209

個1105

個和

60

個，w中

Java

語言項目占比達76.1%2?以看?，?內(nèi)企業(yè)在?ì軟t開發(fā)時，Java語言?然是首?，`比例更大2編程語言的V布情況如Qā所示25OC,8,0.5%Ruby,

8,0.5%Go,24,

1.5%SQL,

7,0.4%Scala,6,

0.4%Swift,

5,0.3%Cobol,5,0.3%Kotlin,

4,

0.3%Python,

40,

2.5%C#,54,

3.4%PHP,

54,

3.4%NodeJS,60,

3.8%C/C++,

105,

6.6%JAVA,

1209,76.1%國內(nèi)企業(yè)自主開發(fā)的軟件項目編程語言總體分布情況2、典型安全缺陷檢?情況V析

1589

個軟t項目的源代碼缺陷檢測結果發(fā)現(xiàn)，注入1密碼管理1?志偽

1跨站腳本1NULL引用1配置管理1輸入驗證1資源管理1路徑遍歷1API誤用等十類y型安全缺陷的總體檢?率?檢?率指含p某類缺陷的軟t項目數(shù)占軟t項目總數(shù)的比例ā~

74.1%，高于去??告的

59.9%，P前?的

77.8%相`2每類y型缺陷àO?的檢?率及排]情況如Q表所示2排]

2022檢?率及排]2021檢?率及排]2020檢?率及排]12345678輸入驗證?50.5%ā跨站腳本?44.2%ā資源管理?43.3%ā輸入驗證?41.8%ā跨站腳本?35.1%āAPI誤用?31.5%ā輸入驗證?50.8%ā路徑遍歷?39.6%ā跨站腳本?39.5%ā注入?37.3%āNULL引用?43.1%ā

NULL引用?30.2%ā注入?40.1%ā路徑遍歷?40.0%ā密碼管理?30.3%āAPI誤用?30.1%ā資源管理?29.9%ā

NULL引用?31.8%ā路徑遍歷?28.4%ā注入?26.3%ā資源管理?31.6%ā密碼管理?31.0%āAPI誤用?28.7%ā密碼管理?22.8%ā69配置管理?24.8%ā?志偽

?17.6%ā配置管理?18.2%ā?志偽

?12.5%ā配置管理?28.0%ā?志偽

?18.2%ā10D表中?以看?，O?來，輸入驗證1跨站腳本1NULL引用是檢?率較高的缺陷類型，配置管理和?志偽

類缺陷檢?率較P2除

API誤用類缺陷的檢?率略pQ降外，w他類型缺陷的檢?率均比去?pO\程度的升高，又普遍回到或超過了前?的水2?內(nèi)企業(yè)在自開發(fā)軟t代碼的安全質(zhì)量方面O能ì以輕心2三、開源軟件生態(tài)發(fā)展P安全狀況開源軟t在現(xiàn)代軟t開發(fā)中的基礎作用已得到普遍認?2本?度?告依然D開源軟t生態(tài)發(fā)展狀況1開源軟t源代碼安全狀況1開源軟t|開?告漏洞狀況1開源軟t活躍度狀況1s鍵基礎開源軟tV析等五個方面對

2022

?開源軟t生態(tài)發(fā)展P安全狀況?ì綜合V析21、開源軟件生態(tài)發(fā)展狀況分析?據(jù)奇安信代碼安全實驗室的監(jiān)測和統(tǒng)計，2021?á和

2022?á，流開源軟t包生態(tài)系統(tǒng)中開源項目總量V別~

4395386個和5499977，N?間增長了

25.1%ā截ó

2022?á，流開源軟t包生態(tài)系統(tǒng)中均每個開源項目p

12.6個x本，較前n??告的

11.8個和

10.2個呈持續(xù)增長的?勢2?以看?，2022?開源軟t生態(tài)依然繁榮2對

Maven1NPM1Packagist1Pypi1Godoc1Nuget1Rubygems17Swift等{個y型開源軟t包生態(tài)系統(tǒng)的x體V析如Q?NPM包生態(tài)項目數(shù)量依然最多，Godoc包生態(tài)增?依然最快2àN狀況P前n??告保持N?2{個y型的開源軟t包生態(tài)系統(tǒng)中開源項目數(shù)量和增長率情況如Qā所示，w中開源項目數(shù)量最多的是NPM

包生態(tài)系統(tǒng)，截ó

2022

?á，w開源項目數(shù)量達到了

2328687個，à高于w他開源包生態(tài)ā開源項目數(shù)量增?最快的是

Godoc包生態(tài)系統(tǒng)，2022?N?間的項目總量增?達到了

55.8%，Nuget的增長也很快，達

53.6%2典型開源軟件包生態(tài)系統(tǒng)中項目數(shù)量變化情況25000002000000150000010000005000000RubygemMavenNPMPackagistPypiGodocNugetSwifts2021?數(shù)量

542743

1892984

3405412022?數(shù)量

656090

2328687

38262335297343897324.4%32826151158755.8%37561457680053.6%1684361736913.1%82999901368.6%增長率20.9%23.0%12.4%Maven和

NPM包生態(tài)系統(tǒng)的開源項目開發(fā)者?然是<最勤奮=的，開源項目的均x本數(shù)超過

13個2截ó

2022?á，{個y型的開源軟t包生態(tài)系統(tǒng)的開源項目數(shù)量和x本數(shù)量如Q表所示2w中，Maven包生態(tài)系統(tǒng)均每個開源項目p高達

21.9

個x本，也是均x本數(shù)增長最快的包生態(tài)系統(tǒng)āw他增長較快的?p

Packagist

和

GodocāNuget是開源項目均x本數(shù)唯N降P的包生態(tài)系統(tǒng)，D去?的

12.7降~今?的

11.028序號

包生態(tài)系統(tǒng)

2022?項目數(shù)2022?版本數(shù)均版本數(shù)12345678MavenNPM65609023286873826234389735115875768001736919013614348900312153624551007423654648178926344100129036860481621.913.411.99.7PackagistPypiGodoc9.4Nuget11.07.4RubygemsSwift6.72、開源軟件源代碼安全狀況分析2022

?全?,<奇安信開源項目檢測計劃=對

2098

個開源軟t項目的源代碼?ì了安全檢測，代碼總量~

173174712ì，共發(fā)現(xiàn)安全缺陷

3646486個，w中高t缺陷

222640個，整體缺陷密度~

21.06個/千ì，高t缺陷密度~

1.29

個/千ì2O?來缺陷密度和高t缺陷密度均呈現(xiàn)?

?P升的?勢2開源軟件均缺陷密度三?對比2521.062016.1114.96151051.292022?0.952020?0.992021?0缺陷密度(個/千行)高危缺陷密度(個/千行)9?1ā編程語言分布情況2022

?檢測的

2098

個開源項目中，共?及

10

種編程語言，V別是

Java1C/C++1Python1OC1Go1JavaScript1Kotlin1Scala1Ruby和

PHP，編程語言的V布情況如Qā所示2開源項目編程語言總體分布情況Scala,

39,1.9%PHP,51,2.4%OC,101,

4.8%Ruby,50,2.4%Go,28,

1.3%Java,

704,33.6%Kotlin,

109,5.2%Javascript,

298,14.2%C/C++,

346,16.5%Python,372,17.7%?2ā典型安全缺陷檢?情況對

2098

個開源軟t項目的缺陷檢測結果V析發(fā)現(xiàn)，注入1密碼管理1?志偽

1跨站腳本1NULL引用1配置管理1輸入驗證1資源管理1路徑遍歷1API誤用等十類y型安全缺陷的總體檢?率~

72.3%，P去?的

73.5%相`，但à高于前?的

56.3%2每類y型缺陷àO?的檢?率及排]情況如Q表所示2排]

2022檢?率及排]2021檢?率及排]路徑遍歷?36.7%ā2020檢?率及排]12資源管理?35.0%ā輸入驗證?50.8%ā路徑遍歷?39.6%āNull引用?31.7%ā

Null引用?36.5%ā1034輸入驗證?29.5%ā路徑遍歷?28.6%ā注入?21.8%ā資源管理?33.0%ā輸入驗證?25.1%ā跨站腳本?39.5%ā注入?37.3%ā5密碼管理?23.5%ā

Null引用?31.8%ā6API誤用?18.6%ā?志偽

?17.3%ā跨站腳本?10.9%ā配置管理?9.4%ā密碼管理?7.5%ā?志偽

?22.9%ā注入?21.4%ā資源管理?31.6%ā密碼管理?31.0%āAPI誤用?28.7%ā配置管理?28.0%ā?志偽

?18.2%ā78API誤用?18.2%ā跨站腳本?15.0%ā配置管理?10.8%ā910?以看?，àO?y型缺陷的檢?率和排]均pO\程度的ù化2總體而言，除資源管理類缺陷小幅P升，輸入驗證1?志偽

類缺陷PQ浮ú外，w他

7類缺陷的檢?率均呈現(xiàn)?總體Q降的?勢2?3ā安全問題修復確認情況2022?，<奇安信開源項目檢測計劃=共U各被測開源項目維?者à饋

1484個安全問題?issuesā，w中

547個得到確認并修復，w余的

937個à饋O修復1未à饋，或無人處理?issues狀態(tài)~

Openā，修復率僅~

36.9%2開源項目維?者對安全問題的T視程度?較P2通過對à?

issues生命周期的V析發(fā)現(xiàn)，N個

issue

De交到維?人員à饋確認并修復的時間，最快~N周，較長的?長達N?甚ó更久23、開源軟件}開報告漏洞狀況分析?據(jù)奇安信代碼安全實驗室監(jiān)測P統(tǒng)計，截ó

2022

?á，CVE/NVD1CNNVD1CNVD

等|開漏洞?中共收錄開源軟t相s漏洞1157610個，w中p

7682個漏洞~

2022?新增2?1ā大型開源項目漏洞總數(shù)及?度增長

TOP20截ó

2022?á，歷史漏洞總數(shù)排]前

20的大型開源項目信息如Q表所示2Linux

Kernel1Chromium

(Google

Chrome)和

MozillaFirefox已a續(xù)O?排]前

32歷史漏序號大型開源項目主頁地址//洞總數(shù)1

LinuxKernel5337Chromium230722440(GoogleChrome)/en-US/firefox/3

MozillaFirefox4

Thunderbird5

MySQL/zh-CN//14271346AdobeFlash6/products/flashplayer/end-of-life.html1089Playerplugin7

linux-aws8

GitLab/855786770759740764642635649//9

linux-gcp10

linux-azure11

PHP//12

SeaMonkey13

ImageMagick14

Wireshark15

WebKitGTK//index.php///en-US/firefox/enterprise/16

FirefoxESR97617

OpenJDK18

Moodle19

Jenkins//585495483https://www.jenkins.io/12XenProject(Hypervisor)20/4862022?N?間，|開?告漏洞數(shù)量增長排]前

20的大型開源項目信息如Q表所示，Linux

Kernel

依然是N?來增à漏洞最多的項目，達到

579個22022

?漏洞增量序號大型開源項目主頁地址1

LinuxKernel//579Chromium(GoogleChrome)2356169/en-US/firefox/3

MozillaFirefox4

TensorFlow5

GitLab6

MySQL///165161160/zh-CN/7

Thunderbird1278

Jenkins9

Vimhttps://www.jenkins.io//117115/en-US/firefox/enterprise/10

FirefoxESR10611

gpachttp://gpac.io/9888777473666012

TeXLive13

linux-aws14

linux-azure15

linux-gcp16

Microweber17

MariaDB/texlive//////XenProject18//6249(Hypervisor)19

LiferayPortal1320

Radare/48?2ā主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及?度增長

TOP20截ó

2022

?á，流開源軟t包生態(tài)系統(tǒng)中歷史漏洞總數(shù)排]前

20的開源軟t信息如Q表所示2序號1

TensorFlow開源軟件所屬包生態(tài)系統(tǒng)

歷史漏洞總數(shù)PypiNugetMaven4103212272

ChakraCore3

JenkinsElectron-Cross-platformdesktopapplicationshell4NPM1961891835

ApacheTomcatElectron-Cross-platformdesktopapplicationshellMavenMaven67

TYPO3CMS8

OpenSSLPackagistConan149147130119117116105989

FFmpeg-iOS10

MagentoCore11

RubyonRails12

phpMyAdmin13

OpenSSLSwiftPackagistRubygemsPackagistSwift14

DjangoPypi15

DolibarrERP&CRM16

Drupal(core)17

PlonePackagistPackagistPypi96939118

silverstripe-framework19

keycloakPackagistMaven898520

DjangoConda842022

?N?間，流開源軟t包生態(tài)系統(tǒng)中|開?告漏洞數(shù)量14增長排]前

20的開源軟t信息如Q表所示2序號開源軟件所屬包生態(tài)系統(tǒng)

2022

?漏洞增量1

TensorFlow2

XWikiPypi16544MavenElectron-Cross-platformdesktopapplicationshellElectron-Cross-platformdesktopapplicationshell34NPM4441Maven5

rdiffWebPypiPackagistMaven403030282320202020191918181717166

pimcore7

ms-mcms8

Goprogramminglanguage9

ShowDocGodocPackagistNPM10

grafana11

librenmsPackagistPackagistGodoc12

CodeIgniter13

Mattermost14

GLPIPackagistMaven15

Jenkins16

incubator-airflow17

TYPO3CMS18

libTIFFPypiPackagistConan19

Rocket.Chat20

XWikiPlatformNPMMaven4、開源軟件活躍度狀況分析s們依然把活躍度作~衡量開源軟t安全性的N個維度2O活躍的開源軟t，N??現(xiàn)安全漏洞，難以得到及時的修復ā活躍的開源軟t中，如果wx本更新發(fā)布的頻率過高，\b增à使用者?維的15r本和安全風險2?1ā超

7成開源軟件項目處于O活躍狀態(tài)s們將超過N?未更新發(fā)布過x本的開源軟t項目定O~O活躍項目22022?全?，流開源軟t包生態(tài)系統(tǒng)中O活躍的開源軟t項目數(shù)量~

3967204

個，占比高達

72.1%，P去?的

69.9%和前?的61.6%相比，呈現(xiàn)?

?升高的?勢2對{個y型的開源軟t包生態(tài)系統(tǒng)?ìV析和比較發(fā)現(xiàn)，除Nuget外，w他各包生態(tài)系統(tǒng)中O活躍項目的占比較去??告數(shù)據(jù)均p小幅升高，Nuget則D去?的

68.1%大幅Q降ó

54.3%2NPM的O活躍項目數(shù)量最多，達

1693287個，Rubygems的O活躍項目比例?~最高，占比高達

90.5%2x體數(shù)據(jù)見Q表2序號

包生態(tài)系統(tǒng)項目總數(shù)O活躍項目數(shù)O活躍項目比例12MavenNPM65609023286873826234389735115875768001736919013645155716932872834082894683484573134491572307854868.8%72.7%74.1%65.9%68.1%54.3%90.5%87.1%3

Packagist45678PypiGodocNugetRubygemsSwift?2ā超

2.2萬個開源軟件一?內(nèi)更新發(fā)布超過

100個版本2022

?全?，流開源軟t包生態(tài)系統(tǒng)中，更新發(fā)布

100

個以Px本的開源項目p

22403

個，明顯高于去?的

19265

個和前?的1613411個，P包生態(tài)系統(tǒng)中項目數(shù)量相\，呈現(xiàn)?

?P升的?勢2{個y型的開源軟t包生態(tài)系統(tǒng)中，N?內(nèi)更新發(fā)布超過

100個x本的項目數(shù)量見Q表2一?內(nèi)發(fā)布超過

100個版本的項目數(shù)量排]包生態(tài)系統(tǒng)對應的開發(fā)語言12345678NPMMavenJavascriptJava1258136962250157298988924818Nuget.NETGodocGoPypiPythonPHPPackagistRubygemsSwiftRubySwift5、關鍵基礎開源軟件分析去?的?告中，s們新增了<s鍵基礎開源軟t=

安全狀況V析，即被_多w他開源軟t所依賴??據(jù)經(jīng)驗x體定O~直接依賴數(shù)大于

1000ā的N類開源軟t2今?的?告中延續(xù)了該部V內(nèi)容，繼續(xù)對àN類軟t的安全性?ìV析2?1ā主流開源生態(tài)關鍵基礎開源軟件

TOP50去??告中e到，D安全的視角來看，如果開源軟t?現(xiàn)漏洞^，r的大效à?大，?響的范圍?廣，那Nà個軟t就?T要2本?告依然將直接依賴數(shù)大于

1000

的開源軟t定O~s鍵基礎開源軟t217V析發(fā)現(xiàn)，截k

2022?á，Maven1NPM1Nuget1Pypi1Packagist1Rubygems等流開源生態(tài)中直接依賴數(shù)大于

1000的開源軟t共p1254款，較

2021?áP漲

17.4%，直接依賴數(shù)排]

TOP50的軟t如Q表2開源軟t

junit:junit的直接依賴數(shù)a續(xù)n?O居榜首，今?達

102980，較去?增à了

7366，也就是說N?之中新增

7366款開源軟t直接依賴于它2ApacheLog4j2依然排在

100]以外2排]開源軟件所屬包生態(tài)系統(tǒng)直接依賴數(shù)1

junit:junit2

rakeMavenRubygemsMavenRubygemsRubygemsNugetMavenNPM10298079723746106943059289565645637854913466014496241314398343798833989319283158930330292543

org.scala-lang:scala-library4

bundler5

rspec6

Newtonsoft.Json7

org.slf4j:slf4j-api8

tslib9

numpyPypi10

requestsPypi11

chalkNPM12

commanderNPM13

lodashNPM14

illuminate/support15

expressPackagistNPM16

guzzlehttp/guzzle17

pandasPackagistPypi18

com.google.guava:guavaMavenorg.jetbrains.kotlin:kotlin-stdlib-common19MavenNPM291652838620

axios1821

pytestPypiMavenNPM27525267702669125821256902542322

ch.qos.logback:logback-classic23

inquirer24

org.mockito:mockito-core25

reactMavenNPM26

requestNPMcom.fasterxml.jackson.core:jackson-databind27MavenNPM23215223812216828

fs-extramons:commons-29Mavenlang3org.jetbrains.kotlin:kotlin-stdlib-jdk830Maven2209131

commons-io:commons-io32

matplotlibMavenPypi21855204181895918194181121763816526163871628714788147561465714624145481405113988139491376233

scipyPypi34

org.clojure:clojure35

typescriptMavenNPM36

jectlombok:lombok37

PyYAMLMavenPypi38

react-domNPM39

laravel/framework40

clickPackagistPypi41

momentNPM42

log4j:log4jMavenMavenRubygemsMavenMavenPypi43

com.google.code.gson:gson44

pry45

org.slf4j:slf4j-log4j1246

org.assertj:assertj-core47

odoo48

yiisoft/yii2Packagist1949

activesupport50

railsRubygemsRubygems1313713105?2āD未}開披露過漏洞的關鍵基礎開源軟件占比進一步升高開源軟t漏洞披露依然表現(xiàn)?參差O齊的狀況，既p漏洞披露流程很l規(guī)的`秀開源項目，也p很多沒p漏洞披露流程的開源項目2對

2022?的數(shù)據(jù)V析發(fā)現(xiàn)，在

1254款s鍵基礎開源軟t中，p

905款D未|開披露過漏洞，占比~

72.2%，高于去??告中的

66.6%2rà種現(xiàn)象的要原因沒ù，依然pn個，即p的開源軟t，特別是p的開源社|中的軟t，漏洞雖然已被修復了，但沒p±錄和|開ā另N方面是對N?開源軟t安全性的s注度O夠，對它們漏洞挖掘的研究?O多2?3ā關鍵基礎開源軟件的整體?維風險?處于較高水D<x本更新時間=和<周e交頻率=n個維度來V析，依然p超

4r的s鍵基礎開源軟t活躍度很P2w中，半?內(nèi)沒p發(fā)布過新x本的s鍵基礎開源軟tp

520款，占比~

41.5%，P去?數(shù)據(jù)相`āN?內(nèi)周均e交次數(shù)小于

5

和小于

1

的s鍵基礎開源軟t數(shù)量V別~

817和

510，占比V別~

65.2%140.7%，n項指標明顯高于去?的

47.1%和

31.3%，說明s鍵基礎開源軟te交的?極性p所降P2在

TOP50的s鍵基礎開源軟t中，只p

23款軟t明確已獲得大廠或者基金b的支持，比去??減少了N款，依然p

9

款軟t的20Github

貢獻者數(shù)量小于

100，NPM

生態(tài)中的

fs-extra

?是由

JPRichardson個人來維?的2整體來看，s鍵基礎開源軟t的?維安全狀況未見改善，?處于較高水2四、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應用狀況2022?，奇安信代碼安全實驗室對

2631個?內(nèi)企業(yè)軟t項目中使用開源軟t的情況?ì了V析，à?軟t項目的à用領域?及中小企業(yè)1金融1|共服á管理1通信1交通和能源等

6個ì業(yè)21、開源軟件總體使用情況分析?1ā均每個軟件項目使用

155個開源軟件在被V析的

2631個?內(nèi)企業(yè)軟t項目中，全部使用了開源軟t，使用率~

100%2最多的項目使用了

5695個開源軟t，均每個項目使用

155

個開源軟t，較前n?的

127

個和

126

個p較大幅度的增à2使用開源軟t最多的

10個項目情況如Q表所示2項目]稱使用的開源軟件數(shù)量項目

1項目

2項目

3項目

4項目

5項目

6項目

7569548444646432837923630336721項目

8項目

9項目

10265724522330?2ā流行開源軟件被超

4成的軟件項目使用在V析的

2631

個?內(nèi)企業(yè)軟t項目中，使用最多的開源軟t~Apache

Commons

Lang，被

1146個項目所使用，占比高達

43.6%，à高于去?的

36.2%和前?的

24.3%2被使用最多的前

10]開源軟t如Q表所示2開源軟件]稱ApacheCommonsLang使用的項目數(shù)被使用率1146113510351026101799643.6%43.1%39.3%39.0%38.7%37.9%SimpleLoggingFacadeforJava(SLF4J)CommonsIOlog4jApacheCommonsCodecJacksonJSONprocessorApache

HttpComponents

Client(aka

ApacheHttpClient)98837.6%SpringFramework98697697337.5%37.1%37.0%jackson-databindApacheCommonsCollections2、開源軟件漏洞風險分析?1āà

8成軟件項目存在容易利用的開源軟件漏洞V析發(fā)現(xiàn)，在

2631

個?內(nèi)企業(yè)軟t項目中，`在已知開源軟t漏洞的項目p

2411

個，占比高達

91.6%ā`在已知高t開源軟t漏22洞的項目p

2268

個，占比~

86.2%ā`在已知超t開源軟t漏洞的項目p

2032個，占比~

77.2%2àO個比例均比去?p所e高2綜合漏洞的

POC/EXP情況以及

CVSS?利用性指標等因素，s們將漏洞的利用難度V~容易1N般1困難，容易利用的漏洞風險極高2在V析的

2631個項目中，`在容易利用的漏洞的項目p

2089個

，占比~

79.4%，高于去?的

77.0%2?2ā均每個軟件項目存在

110個已知開源軟件漏洞在

2631個?內(nèi)企業(yè)軟t項目中，共檢?

289066個已知開源軟t漏洞??及到

8289

個唯N

CVE

漏洞編號ā，均每個軟t項目`在110個已知開源軟t漏洞，à高于前n?的

69和

66個2最多的軟t項目`在

1566

個已知開源軟t漏洞2`在已知開源軟t漏洞數(shù)量排]前

10的項目情況如Q表所示2項目存在開源軟件漏洞數(shù)量項目

1項目

2項目

3項目

4項目

5項目

6項目

7項目

8項目

9項目

10156615061459141114071395138812341169107323?3ā影響最廣的開源軟件漏洞存在于超

4成的軟件項目中D漏洞的?響度來V析，?響范圍最大的開源軟t漏洞~

CVE-2022-42003和

CVE-2022-42004，`在于

41.9%的軟t項目中，比去?最高的

31.7%高?t

10%，足以說明它們?響廣泛22022??響度排]前

10的開源軟t漏洞如Q表所示2影響項目漏洞]稱CVE

編號影響度41.9%41.9%數(shù)量FasterXML

jackson-databind代碼問題漏洞CVE-2022-42003CVE-2022-420041103FasterXML

jackson-databind代碼問題漏洞1102SpringFramework安全漏洞SpringFramework安全漏洞CVE-2023-20861CVE-2023-208631078107741.0%40.9%Apache

Commons

FileUpload安全漏洞CVE-2023-24998CVE-2022-22965CVE-2022-22970CVE-2016-1000027CVE-2023-35116CVE-2022-229681012100699438.5%38.2%37.8%37.2%37.1%36.9%Spring

Framework

à程代碼執(zhí)ì漏洞Spring

Framework

輸入驗證錯誤漏洞Vmware

Spring

Framework

代碼問題漏洞979FasterXML

jackson-databind代碼問題漏洞976Vmware

Spring

Framework

安全特征問題漏洞970容易利用的漏洞更易被用來發(fā)起攻ü，風險極高2?響度排]前10的容易利用的開源軟t漏洞情況如Q表所示2影響項目數(shù)量容易利用的漏洞]稱CVE

編號影響度Spring

Framework

à程代碼執(zhí)ì漏洞CVE-2022-22965

100638.2%Vmware

Spring

Framework

代碼問題漏洞CVE-2016-100002797989637.2%34.1%VmwareSpringFramework安全漏洞

CVE-2021-2206024VmwareSpringFramework安全漏洞

CVE-2021-2209688686980680677874733.7%33.0%30.6%30.6%29.6%28.4%ApacheHttpClient安全漏洞jQuery跨站腳本漏洞jQuery跨站腳本漏洞jQuery跨站腳本漏洞Fastjson代碼問題漏洞CVE-2020-13956CVE-2020-11022CVE-2020-11023CVE-2019-11358CVE-2022-25845FasterXML

jackson-databind

代碼問題漏洞CVE-2020-884073728.0%?4ā20多?前的開源軟件漏洞?然存在于多個軟件項目中V析發(fā)現(xiàn)，P前n??告結果N?，部V軟t項目中?然`在很久之前|開的?老開源軟t漏洞，w中，最?老的漏洞是

2002

?

3o

15

?|開的

CVE-2002-0059，距今已

21

?，?然`在于

11

個項目中2部V?老開源軟t漏洞的?響情況如Q表所示2影響項目數(shù)量漏洞]稱zlib安全漏洞CVE

編號發(fā)布日期CVE-2002-0059

2002-03-15CVE-2002-0660

2002-06-1911LibPNG

超闊y邊空ā象處理內(nèi)`破壞漏洞141Portable

Network

Graphics任意腳本à程執(zhí)ì漏洞Linux

Kernel混g模式狀態(tài)漏洞CVE-2002-1363

2002-12-26CVE-2002-1976

2002-12-31zlib安全漏洞CVE-2003-0107

2003-02-23CVE-2004-0230

2004-08-18171TCP`ˉ安全漏洞LibPNG

O合法

PNG

?界à問拒?服á漏洞CVE-2004-0421

2004-08-1814Microsoft

MSN

Messenger

PNGā

w

解

析

à

程

代

碼

執(zhí)

ì

漏

洞

CVE-2004-0597

2004-11-23(MS05-009)libpng

png_handle_iCCP

NULLCVE-2004-0598

2004-11-23指針à程拒?服á漏洞44libpng漏洞ì讀×à程整數(shù)溢?CVE-2004-0599

2004-11-23253、開源軟件許可協(xié)議風險分析?1ā最流行的開源許可協(xié)議在超半數(shù)的項目中使用在

2631個被V析的?內(nèi)企業(yè)軟t項目中，共發(fā)現(xiàn)

537個開源許?`ˉ2?及項目數(shù)最多的`ˉ依然是

Apache

License

2.0，在

1349個項目中使用，占比~

51.3%，雖然超過半數(shù)，但P于去?的

77.1%2?及軟t項目數(shù)排]前

10的許?`ˉ如Q表所示2開源許可協(xié)議ApacheLicense2.0涉及項目數(shù)所占比例1349105032815714712312211351.3%39.9%12.5%6.0%5.6%4.7%4.6%4.3%MITLicenseBSD3-Clause"New"or"Revised"LicenseGNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev1.0orlaterGNUGeneralPublicLicensev2.0orlaterPublicDomainBSD2-Clause"Simplified"LicenseGNU

Lesser

General

Public

License

v2.1

orlater91863.5%3.3%GNUGeneralPublicLicensev3.0only?2ā1/6的項目使用了含p超、高危許可協(xié)議的開源軟件p?類型的開源許?`ˉ中包含了N?限制性條款，在使用過程中N?áàà?條款，?能對企業(yè)的商業(yè)利益和聲譽

roT的損害2à?限制性條款包括如?<禁k本軟t及wí生品用于商業(yè)目的=1<禁k在未支付費用和x稅的情況Q將該軟t用于非|開1非商業(yè)用途=1<軟t發(fā)布時必須|開軟t的源代碼=等226奇安信代碼安全實驗室將限制性較~苛刻的N類`ˉ定O~超t許?`ˉ，將限制性較大而未達到超t水的N類`ˉ定O~高t許?`ˉ2在

2631

個被V析的?內(nèi)企業(yè)軟t項目中，`在超t許?`ˉ的項目

142個，占比

5.4%ā`在高t許?`ˉ的項目

301個，占比

11.4%2含超t和高t許?`ˉ的項目合計占比

16.8%，t

1/62?及軟t項目數(shù)排]前

10的超t許?`ˉ如Q表所示2超危開源許可協(xié)議涉及項目數(shù)GNUGeneralPublicLicensev3.0only8682574643187GNUGeneralPublicLicensev3.0orlaterGNUAfferoGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0orlaterGNUFreeDocumentationLicensev1.2GNUFreeDocumentationLicensev1.2onlyGNUGeneralPublicLicensev3.0orlaterGNUGeneralPublicLicensev3.0only72Creative

Commons

Attribution

Non

Commercial

Share

Alike2.5Generic1?及軟t項目數(shù)排]前

10的高t許?`ˉ如Q表所示2高危開源許可協(xié)議涉及項目數(shù)GNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev2.0orlaterGNULesserGeneralPublicLicensev2.1orlaterGNULibraryGeneralPublicLicensev2orlaterGNULesserGeneralPublicLicensev2.1onlyMozillaPublicLicense1.115712391787248EclipsePublicLicense1.04527CreativeCommonsAttributionShareAlike3.0UnportedGNULibraryGeneralPublicLicensev2onlyGNULesserGeneralPublicLicensev2.1only4131304、開源軟件?維風險分析開源軟t?維風險復g多，?告要D老?開源軟t的使用和開源軟t多x本的使用角度?ìV析2?1āà

30?前的老舊開源軟件版本?在被使用V析發(fā)現(xiàn)，P前n??告數(shù)據(jù)N?，許多軟t項目中?然在使用老?的開源軟tx本，p的甚ó是à

30

?前發(fā)布的x本，`在很大的?維風險2被使用的老?開源軟tx本中，最é的N款是

1995

?8o

2?發(fā)布的

IJG

JPEG

6，已經(jīng)p

28?之久，但?然被軟t項目所使用2按老?程度排]前

10的開源軟t如Q表所示2開源軟件]稱IJGJPEG版本號

版本發(fā)布日期

使用它的項目數(shù)量61995-08-021996-02-071996-12-112001-02-051131IJGJPEGglut6a3.1-31.1.3zlib343libpnglibpngSaxpath1.0.12

2001-06-091.2.1

2001-12-1581.0-FCS

2002-05-141.0-FCS

2002-05-141jaxen-core

from

jdom

1.1distribution1libpng1.2.32002-05-2445ApacheXalan2.5.D1

2003-03-0328?2ā開源軟件各版本使用依然混亂V析發(fā)現(xiàn)，各個項目中開源軟t使用的x本依然非?；靵y，并非使用的都是最新x本2Spring

Framework

是被使用x本最多的開源軟t，p

181個x本在被使用，比去?的

235P，但高于前?的

162，說明開源軟tx本使用混亂的狀況依然oT2按照被使用x本的數(shù)量排序，排]前

10的開源軟t情況如Q表所示2開源軟件]稱SpringFramework被使用的版本數(shù)量181132130126118117112109109105@types/nodeApacheTomcatSpringBootNettyProjectHibernateORMjackson-databindSpringTestContextFrameworkJacksonJSONprocessorJetty5、O\行業(yè)軟件項目開源使用風險分析所p

2631

個被V析的?內(nèi)企業(yè)軟t項目，按照à用領域1?能屬性，?劃_}個ì業(yè)，即中小企業(yè)類1金融類1|共服á管理類1通信類1交通類和能源類軟t項目2?1ā各行業(yè)軟件項目分布情況在

2631個?內(nèi)企業(yè)自開發(fā)的軟t項目中，數(shù)量排]前

3的依29次~中小型企業(yè)開發(fā)的軟t1金融類項目和|共服á管理類項目，項目數(shù)V別~

1253個11002個和

229個，它們合計占比接à

95%2被V析軟t項目按ì業(yè)的V布情況如Qā所示2軟件項目按行業(yè)分布情況交通類,49,通信類,74,1.9%2.8%能源類,24,0.9%公共服務管理類,229,8.7%金融類,1002,中小企業(yè)類,1253,

47.6%38.1%?2ā各行業(yè)軟件項目使用開源軟件情況各ì業(yè)軟t項目使用開源軟t的均數(shù)量如Qā所示2P總體均數(shù)

155個相比，中小企業(yè)類1通信類項目的開源軟t使用均數(shù)P之相`ā|共服á管理類1交通類1能源類項目使用開源軟t較少，均數(shù)在

80-89個之間ā金融類項目使用開源軟t均數(shù)量最大，`à高于w他類別和總體水，達到

186個230各行業(yè)軟件項目使用開源軟件均數(shù)量?個ā186200150100501551481418984800?3ā各行業(yè)軟件項目含已知開源軟件漏洞情況各ì業(yè)軟t項目含已知開源軟t漏洞的均數(shù)量如Qā所示2?以看?，通信類1金融類1能源類軟t項目的已知開源軟t漏洞均數(shù)高于總體，前n者已高于

120個āw他ì業(yè)的軟t項目雖然均漏洞數(shù)較P，但也明顯高于去?和前?的總體均水?69個和

66個ā2各行業(yè)軟件項目含已知開源軟件漏洞均數(shù)量?個ā140122123116120100806040200110102979031五、典型軟件供應鏈安全風險實例分析1、某主流企業(yè)級無線路由器供應鏈攻ü實例分析某?×知]廠商生產(chǎn)的企業(yè)?千兆無線路由器，廣泛à用于各類企業(yè)中，對該路由器的固t?ìV析發(fā)現(xiàn)，固t使用了開源工xMiniUPnPd1.92MiniUPnPd是N款?用于嵌入式系統(tǒng)的通用即插即用開源工x，它是物聯(lián)網(wǎng)?心`ˉ

UPnP的N個實現(xiàn)2UPnP`ˉ允許各種網(wǎng)t?備在沒p特殊?置或配置的情況Q?ì通信，使得?備彼m間?自úa接和`\工作2例如，新打s機通電并接入網(wǎng)t^，局域網(wǎng)中的計算機自ú獲×打s機的型號等信息，方便?ì驅(qū)ú安裝2CVE-2020-12695是

UPnP`ˉ的N個高t歷史漏洞，又被ā作CallStranger漏洞，攻ü者?利用它繞過內(nèi)網(wǎng)的數(shù)據(jù)防泄漏?DLPā系統(tǒng)，實現(xiàn)數(shù)據(jù)?逸，D而導?敏感數(shù)據(jù)泄露ā??以對?備所在內(nèi)網(wǎng)?ì掃?，甚ó?能劫持?備?ìV布式拒?服á?DDoSā攻ü2該漏洞?響產(chǎn)品的范圍非常廣泛2Qā展示了在本例的路由器P利用

CVE-2020-12695

的效果，?以掃?路由器所在內(nèi)網(wǎng)中某機器的

222端ó是否開啟，若未收到a接請求，則確定端ó開啟，?而~^續(xù)網(wǎng)t攻üe供基礎232本實例中，軟t供à鏈風險傳播鏈條如Q?某流無線路由器的固t使用開源工x

MiniUPnPd來實現(xiàn)

UPnP服á，`

UPnP服á?能開啟時，UPnP`ˉ漏洞b?響該路由器，對路由器所在內(nèi)網(wǎng)?ì掃?，由m引發(fā)軟t供à鏈攻ü22、ZCS協(xié)\辦}系統(tǒng)供應鏈攻ü實例分析Zimbra

Collaboration

Suite?ZCSā是N款開源`\T|套t，包括郵t服á1?歷1通信錄等?能2ZCS郵t服á器目前à用于全球

140個?家的

20多萬個組?中，包括

1000多個?府和金融機構2ZCS

的防病毒引?

Amavis

對電子郵t中的?te×時使用了開源組t

cpio?N款

GNU/Linux

實用程序，è在e×各種`檔格式，包括.cpio1.tar和.rpm等

ā2CVE-2022-41352