2024中國軟件供應(yīng)鏈安全分析報告_第1頁
2024中國軟件供應(yīng)鏈安全分析報告_第2頁
2024中國軟件供應(yīng)鏈安全分析報告_第3頁
2024中國軟件供應(yīng)鏈安全分析報告_第4頁
2024中國軟件供應(yīng)鏈安全分析報告_第5頁
已閱讀5頁,還剩90頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

I 1 4 6 6 7 8 9 11 12 13 13 19 19 24 25 26 37 5111、軟件供應(yīng)鏈安全攻擊手段依然花樣百出2試工具Bazel的一個供應(yīng)鏈安全漏洞的詳細(xì)信息。Bazel所依賴的34件是在不到一年的時間內(nèi)發(fā)生的第二起因外部承包商而導(dǎo)致的英國遠程服務(wù)器管理和數(shù)據(jù)安全通信。2024年7月初,網(wǎng)絡(luò)安全公司易受攻擊。2、國內(nèi)企業(yè)軟件供應(yīng)鏈安全狀況有所改善奇安信代碼安全實驗室通過數(shù)據(jù)分析發(fā)現(xiàn),與以往歷年相比,s6二、國內(nèi)企業(yè)自主開發(fā)源代碼安全狀況1、編程語言分布情況72、典型安全缺陷檢出情況入驗證、資源管理、路徑遍歷、API誤用等十類典型安全缺陷的總體8三、開源軟件生態(tài)發(fā)展與安全狀況91、開源軟件生態(tài)發(fā)展?fàn)顩r分析底,主流開源軟件包生態(tài)系統(tǒng)中開源項目總量分別為5499977和源軟件包生態(tài)系統(tǒng)中平均每個開源項目有123456782、開源軟件源代碼安全狀況分析(1)編程語言分布情況(2)典型安全缺陷檢出情況源管理、路徑遍歷、API誤用等十類典型安全缺陷的總體檢出率為3、開源軟件公開報告漏洞狀況分析(1)大型開源項目漏洞總數(shù)及年度增長TOP20123456789123456789(2)主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及年度增長TOP20123456789123456jfinal7894、開源軟件活躍度狀況分析(1)68.7%的開源軟件項目處于不活躍狀態(tài),比例下降報告中依然將超過一年未更新發(fā)布版本的開源軟件項目定義為1220345678(2)版本頻繁更新的項目較去年增長21.6%12345678215、關(guān)鍵基礎(chǔ)開源軟件分析(1)主流開源生態(tài)關(guān)鍵基礎(chǔ)開源軟件TOP501junit:junit234225tiktokapi-src6tiktok-src78tslib9org.slf4j:slf4j-apiorg.jetbrains.kotlin:kotlin-stdliborg.jetbrains.kotlin:kotlin-stdlib23org.jetbrains.kotlin:kotlin-stdlib-jdk8fs-extraclick24org.assertj:assertj-core(2)關(guān)鍵基礎(chǔ)開源軟件的漏洞披露情況未見改善2s(3)關(guān)鍵基礎(chǔ)開源軟件的整體運維風(fēng)險有所改觀26(1)超95%的惡意開源組件以竊取敏感信息為目標(biāo)示??梢钥闯?,95.3%的惡意組件以竊取敏感信息為最終目標(biāo),這些27(2)典型惡意開源組件及惡意行為剖析npm_package_devdependedeuna-lib-tl-react-n2829四、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應(yīng)用狀況30(1)平均每個軟件項目使用166個開源軟件,再創(chuàng)新高31(2)最流行的開源軟件被37.2%的軟件項目使用322、開源軟件漏洞風(fēng)險分析(1)存在容易利用的開源軟件漏洞的項目占比大幅下降33(2)平均每個項目包含的已知開源軟件漏洞數(shù)明顯回落34本次分析的軟件項目中,引入已知開源軟件漏洞最35(3)影響最廣的開源軟件漏洞的影響范圍有所減小從漏洞的影響度來分析,影響范圍最大的開源軟件漏洞為洞洞洞36(4)20多年前的開源軟件漏洞仍然存在于多個軟件項目中211378zlib安全漏洞588162zlib安全漏洞35210241223、開源軟件許可協(xié)議風(fēng)險分析(1)最流行的開源許可協(xié)議在46.9%的項目中使用38奇安信代碼安全實驗室將限制性較為苛刻的一類協(xié)議定義為超39GPL-3.0-or-laterLGPL-3.0-or-later87數(shù)GPL-2.0-or-later404、開源軟件運維風(fēng)險分析(1)多個二三十年前的老舊開源軟件版本仍在使用11411-4112141zlib31(2)開源軟件各版本使用依然混亂42五、典型軟件供應(yīng)鏈安全風(fēng)險實例分析1、多款主流操作系統(tǒng)供應(yīng)鏈攻擊實例分析Ubuntu是一款被廣泛使用的Linux操作系統(tǒng)發(fā)行版,具有多種支持Python、Java、C++等多種編程語言,還提供了本控制系統(tǒng)等開發(fā)庫和工具。使用者通常使用aptUbuntu上安裝MiniDLNA,以獲得媒體播放服務(wù)。支持音樂、圖片、視頻等媒體文件的播放,可幫助用戶通過DLNA兼件。MiniDLNA被廣泛部署在Linux服務(wù)器上,同時也廣泛應(yīng)用于路CVE-2023-33476是MiniDLNA的一個越界寫類型的超危歷史漏洞,4344程命令執(zhí)行攻擊,從而提升了漏洞的危害程度。該漏洞影響Linux了glibc2.35,利用上述歷史漏洞后,可以看到執(zhí)行了給定的命令令執(zhí)行攻擊。4s本實例中,軟件供應(yīng)鏈風(fēng)險傳播鏈條為:PHP程序運行時使用3、某國產(chǎn)數(shù)據(jù)庫供應(yīng)鏈攻擊實例分析46474849附

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論