2024中國軟件供應(yīng)鏈安全分析報告

I 1 4 6 6 7 8 9 11 12 13 13 19 19 24 25 26 37 511本期報告在開源軟件生態(tài)發(fā)展與安全部分新增了對NPM生態(tài)中惡意1、軟件供應(yīng)鏈安全攻擊手段依然花樣百出29月，某黑客組織都在使用域名仿冒（Typosquatting）和星標(biāo)劫持（Starjacking）技術(shù)向開源包管理器PyPi植入一系列惡意包，并引誘開發(fā)人員使用，而這些惡意包與Telegram、AWS和阿里云等熱門通人信息、登錄憑據(jù)等敏感數(shù)據(jù)，可能影響數(shù)百萬人。用來訪問772個組織機(jī)構(gòu)的倉庫，包括谷歌、其中部分令牌可幫助攻擊者獲得Meta公司Bloom、Meta-Liama、Pythia等大語言模型（LLM）倉庫的完全讀寫權(quán)限，使用這些倉庫把LLM能力集成到應(yīng)用和運營中的組織置于供應(yīng)鏈風(fēng)試工具Bazel的一個供應(yīng)鏈安全漏洞的詳細(xì)信息。Bazel所依賴的3托管在GitHub上的源代碼遭受到大規(guī)模嚴(yán)重供應(yīng)鏈投毒攻擊，該平意軟件竊取用戶Chrome、Edge等瀏覽器中的敏感數(shù)據(jù)，包括瀏覽歷圖竊取Telegram會話數(shù)據(jù)以侵犯用戶隱私。這些攻擊同時也影響到2024年3月底，某開發(fā)人員在調(diào)查SSH性能問題時發(fā)現(xiàn)了涉及XZUtil?工具庫的供應(yīng)鏈攻擊，溯源發(fā)現(xiàn)SSH使用的上游liblzma庫被植入了惡意后門漏洞（CVE-2024-3094滿足一定條件時會解密2024年5月，攻擊者通過與英國國防部核心網(wǎng)絡(luò)鏈據(jù)統(tǒng)計，攻擊者訪問了超過22.5萬名英國陸軍、海軍和皇家空軍現(xiàn)4件是在不到一年的時間內(nèi)發(fā)生的第二起因外部承包商而導(dǎo)致的英國遠(yuǎn)程服務(wù)器管理和數(shù)據(jù)安全通信。2024年7月初，網(wǎng)絡(luò)安全公司（CVE-2024-6387攻擊者可利用其以root權(quán)限在基于glibc的惡意程序安裝和后門創(chuàng)建等攻擊行為，嚴(yán)重程度堪比Log4Shell。具Qualys公司自身的客戶中就有約70萬個暴露在互聯(lián)網(wǎng)上的系統(tǒng)可能易受攻擊。2、國內(nèi)企業(yè)軟件供應(yīng)鏈安全狀況有所改善奇安信代碼安全實驗室通過數(shù)據(jù)分析發(fā)現(xiàn)，與以往歷年相比，2023年，國內(nèi)企業(yè)自主開發(fā)軟件的源代碼高危缺陷密度明顯下降，通過對2023年國內(nèi)企業(yè)自主開發(fā)源代碼的分析發(fā)現(xiàn)，雖然整體缺陷密度達(dá)到12.76個/千行，高于以往各年，但高危缺陷的密度為檢出率為25.7%，較往年也有較大降低。上述趨勢的出現(xiàn)，應(yīng)該在很軟件，數(shù)量再創(chuàng)新高。但另一方面，平均每個項目存在83個已知開s6二、國內(nèi)企業(yè)自主開發(fā)源代碼安全狀況源代碼的安全是軟件供應(yīng)鏈安全的基礎(chǔ)。2023年全年，奇安信/千行，高危缺陷密度為0.52個/千行。與以往歷年相比，1、編程語言分布情況7再次回到第三的位置。Java語言項目占比達(dá)67.7%，但低于去年的2、典型安全缺陷檢出情況入驗證、資源管理、路徑遍歷、API誤用等十類典型安全缺陷的總體8三、開源軟件生態(tài)發(fā)展與安全狀況91、開源軟件生態(tài)發(fā)展?fàn)顩r分析根據(jù)奇安信代碼安全實驗室的監(jiān)測和統(tǒng)計，2022年底和2023年底，主流開源軟件包生態(tài)系統(tǒng)中開源項目總量分別為5499977和對Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、123456782、開源軟件源代碼安全狀況分析（1）編程語言分布情況（2）典型安全缺陷檢出情況對2248個開源軟件項目的缺陷檢測結(jié)果分析源管理、路徑遍歷、API誤用等十類典型安全缺陷的總體檢出率為76.7%，與前兩年相比，有小幅升高。每類典型缺陷歷年的檢出率及輸入驗證、路徑遍歷和資源管理三類缺陷的檢出率較高，均在30%左3、開源軟件公開報告漏洞狀況分析（1）大型開源項目漏洞總數(shù)及年度增長TOP20123/en4https://www.thunderbird5678https://azure.microsof9/en-U/produhttps://www.seamonkey-https://imagemagick.1234567https://azure.microsof8x/enterprise/9https://www.thunderbird（2）主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及年度增長TOP20截至2023年底，主流開源軟件包生態(tài)系統(tǒng)中歷史漏洞總數(shù)排名前20的開源軟件信息如下表所示。排名前兩位的1234567892023年一年間，主流開源軟件包生態(tài)系統(tǒng)中公開報告漏洞數(shù)量123456789XWikiPlatform4、開源軟件活躍度狀況分析（1）68.7%的開源軟件項目處于不活躍狀態(tài)，比例下降報告中依然將超過一年未更新發(fā)布版本的開源軟件項目定義為不活躍項目。2023年全年，主流開源軟件包生態(tài)系統(tǒng)中不活躍的開1220345678（2）版本頻繁更新的項目較去年增長21.6%版本的開源項目有27234個，較去年增長21.6%。八個典型的開源軟12345678215、關(guān)鍵基礎(chǔ)開源軟件分析且消除困難，其安全性應(yīng)得到更多關(guān)注。ApacheLog4j2就是一款關(guān)（1）主流開源生態(tài)關(guān)鍵基礎(chǔ)開源軟件TOP50Rubygems等主流開源生態(tài)中的關(guān)鍵基礎(chǔ)開源軟件共有1709款，較123org.scala-lang:scala-42256789org.jetbrains.kotlin:kotlin-storg.jetbrains.kotlin:kotlin-st23ch.qos.logback:logbaorg.jetbrains.kotlin:kotlin-stcom.fasterxml.jackson.core:jmons:comm24Microsoft.Extensions.Deporg.assertj:assertj-（2）關(guān)鍵基礎(chǔ)開源軟件的漏洞披露情況未見改善2s（3）關(guān)鍵基礎(chǔ)開源軟件的整體運維風(fēng)險有所改觀得大廠或者基金會支持，比前兩年的23和24款有明顯增加；Github26（1）超95%的惡意開源組件以竊取敏感信息為目標(biāo)示?？梢钥闯?，95.3%的惡意組件以竊取敏感信息為最終目標(biāo)，這些27（2）典型惡意開源組件及惡意行為剖析npm_package_devdependedeuna-lib-tl-react-n2829四、國內(nèi)企業(yè)軟件開發(fā)中開源軟件應(yīng)用狀況30（1）平均每個軟件項目使用166個開源軟件，再創(chuàng)新高31（2）最流行的開源軟件被37.2%的軟件項目使用322、開源軟件漏洞風(fēng)險分析（1）存在容易利用的開源軟件漏洞的項目占比大幅下降33（2）平均每個項目包含的已知開源軟件漏洞數(shù)明顯回落34本次分析的軟件項目中，引入已知開源軟件漏洞最多的數(shù)量為35（3）影響最廣的開源軟件漏洞的影響范圍有所減小從漏洞的影響度來分析，影響范圍最大的開源軟件漏洞為FasterXMLjackson-databind代碼問題漏洞FasterXMLjackson-databind代碼問題漏洞FasterXMLjackson-databind代碼問題漏洞36CVE-2016-1000027（4）20多年前的開源軟件漏洞仍然存在于多個軟件項目中2113785881PortableNetworkGraphic6235210241223、開源軟件許可協(xié)議風(fēng)險分析（1）最流行的開源許可協(xié)議在46.9%的項目中使用38奇安信代碼安全實驗室將限制性較為苛刻的一類協(xié)議定義為超3987數(shù)404、開源軟件運維風(fēng)險分析（1）多個二三十年前的老舊開源軟件版本仍在使用老舊的開源軟件版本，有的版本已經(jīng)超過30年，存在極大的運維風(fēng)114111214131（2）開源軟件各版本使用依然混亂Springframework:SpringCoreSpringframework:SpringBeaSpringframework:SpringContextSpringframework:SpringWeb42Springframework:SpringContextSupport五、典型軟件供應(yīng)鏈安全風(fēng)險實例分析1、多款主流操作系統(tǒng)供應(yīng)鏈攻擊實例分析Ubuntu是一款被廣泛使用的Linux操作系統(tǒng)發(fā)行版，具有多種支持Python、Java、C++等多種編程語言，還提供了本控制系統(tǒng)等開發(fā)庫和工具。使用者通常使用aptUbuntu上安裝MiniDLNA，以獲得媒體播放服務(wù)。支持音樂、圖片、視頻等媒體文件的播放，可幫助用戶通過DLNA兼件。MiniDLNA被廣泛部署在Linux服務(wù)器上，同時也廣泛應(yīng)用于路CVE-2023-33476是MiniDLNA的一個越界寫類型的超危歷史漏洞,43特別適用于Web開發(fā)。PHP在運行時會依賴于底層的系統(tǒng)庫Linux44運行庫，是Linux系統(tǒng)中最底層的API，幾乎其他任何運行庫都會依程命令執(zhí)行攻擊，從而提升了漏洞的危害程度。該漏洞影響Linux了glibc2.35，利用上述歷史漏洞后，可以看到執(zhí)行了給定的命令令執(zhí)行攻擊。4s本實例中，軟件供應(yīng)鏈風(fēng)險傳播鏈條為：PHP程序運行時使用3、某國產(chǎn)數(shù)據(jù)庫供應(yīng)鏈攻擊實例分析數(shù)據(jù)庫MySQL的適配，該國產(chǎn)數(shù)據(jù)庫的最新版本基于MySQLJDBCJDBC（JavaDatabaseConnectivity）是Java提供的一套用于連接數(shù)據(jù)庫的標(biāo)準(zhǔn)API，它定義了一