2021 中国软件供应链安全 分析报告 b u m o c . 5 h t i g 奇安信代码安全实验室 2021 年 6 月 目 录 一、前言 ....................................................................................................1 二、国内企业自主开发源代码安全状况 ................................................3 1、编程语言分布情况 .............................................................................................. 3 m o c . 5 2、典型安全缺陷检出情况 ...................................................................................... 4 三、开源软件生态发展与安全状况 ........................................................5 1、开源软件生态发展状况分析 .............................................................................. 5 2、开源软件源代码安全状况分析 .......................................................................... 7 b u (1)编程语言分布情况 ...................................................................................... 7 (2)典型安全缺陷检出情况 .............................................................................. 8 h t i g 3、开源软件公开报告漏洞状况分析 ...................................................................... 9 (1)大型开源项目漏洞总数及年度增长 TOP20 ............................................... 9 (2)主流开源软件包生态系统漏洞总数及年度增长 TOP20 ......................... 11 4、开源软件活跃度状况分析 ................................................................................ 13 (1)61.6%的开源软件项目处于不活跃状态 .................................................. 13 (2)13000 多个开源软件一年内更新发布超过 100 个版本 ......................... 14 四、国内企业软件开发中开源软件应用状况 ......................................15 1、开源软件总体使用情况分析 ............................................................................ 15 (1)国内企业软件项目 100%使用开源软件 ................................................... 15 (2)流行开源软件被近 1/4 的软件项目使用 ................................................ 16 2、开源软件漏洞风险分析 .................................................................................... 17 (1)近 9 成软件项目存在已知开源软件漏洞 ................................................ 17 (2)平均每个软件项目存在 66 个已知开源软件漏洞 .................................. 17 (3)影响最广的开源软件漏洞存在于 44.3%的软件项目中 ......................... 17 (4)15 年前的开源软件漏洞仍然存在于多个软件项目中 ........................... 18 3、开源软件运维风险分析 .................................................................................... 18 (1)18 年前的老旧开源软件版本仍在被使用 ............................................... 18 (2)开源软件各版本使用非常混乱 ................................................................ 19 五、典型软件供应链安全风险实例分析 ..............................................20 1、国内某主流 OA 系统供应链安全分析 .............................................................. 20 2、国内某流行 Windows 桌面软件供应链安全分析 ............................................ 21 3、某国产网络设备固件供应链安全分析 ............................................................ 22 4、Google Chrome 浏览器供应链攻击实例分析 ................................................. 23 5、VMware Workstation 供应链攻击实例分析 ................................................... 24 m o c . 5 六、总结及建议 ......................................................................................26 附录:奇安信代码安全实验室简介 ......................................................29 h t i g b u 一、前言 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已 经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正 在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的 m o c . 5 软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护 难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速 增长态势,造成的危害也越来越严重。 2020 年 4 月,Rubygems 开源软件包生态系统被放入了数百个恶 b u 意软件包,这些恶意软件包的下载总量近 10 万次。例如,“atlas- h t i g client”是一个诱骗的诱饵程序包,用来仿冒“atlas_client” ,被下 载了超过 2100 次。 2020 年 5 月,GitHub 披露了针对 Apache NetBeans IDE 项目的 开源软件供应链攻击 Octopus Scanner,最终统计显示,有 26 个开 源项目被植入了 Octopus Scanner 后门。 2020 年 12 月,全球著名的网络安全管理软件供应商 SolarWinds 遭遇国家级 APT 团伙高度复杂的供应链攻击。该攻击直接导致包括美 国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影 响,可任由攻击者完全操控。 2021 年 2 月,安全研究人员通过利用开源生态安全机制上的漏 洞,成功侵入了微软、苹果、PayPal、特斯拉、优步等 35 家国际大 1 型科技公司的内网,这种新颖的软件供应链攻击方式被定义为依赖混 淆攻击。 2021 年 3 月,PHP 的 Git 服务器被攻击,攻击者向 git.php.net 服务器上的 php-src 存储库推送了两次恶意提交,在 PHP 代码中植入 了一个后门,其目标是可以通过该后门获得运行 PHP 的网站系统的远 程代码执行权限。 2021 年 4 月,知名代码测试公司 Codecov 宣布其产品的 bash m o c . 5 uploader 脚本被攻击者修改,导致用户在使用 Codecov 产品时,会 向攻击者的服务器发送敏感信息,从而导致攻击者可以获取用户的软 件源代码等机密信息。 b u 攻击不断左移,针对软件供应链的攻击事件频发,系统性的研究 h t i g 软件供应链安全,防范软件供应链安全风险, 已经迫在眉睫。2020 年, 奇安信代码安全实验室依托自身在软件安全领域十余年的技术积累, 针对国内软件供应链的安全状况进行了大量的研究、实践和数据分析 工作,形成本报告。报告内容主要包括国内企业自主开发源代码安全 状况分析、开源软件生态发展与安全状况分析、国内企业软件开发中 开源软件应用状况分析、典型应用系统供应链安全风险实例分析、总 结及建议等五个方面,希望可以为相关单位开展软件供应链安全相关 的研究和实践工作提供借鉴和参考。 2 二、国内企业自主开发源代码安全状况 源代码是软件的原始形态,位于软件供应链的源头。源代码安全 是软件供应链安全的基础,其地位非常关键和重要。2020 年全年,奇 安信代码安全实验室对 2001 个国内企业自主开发的软件项目源代码 进行了安全缺陷检测,检测的代码总量为 335011173 行,共发现安全 m o c . 5 缺陷 3387642 个,其中高危缺陷 361812 个,整体缺陷密度为 10.11 个/千行,高危缺陷密度为 1.08

pdf文档 奇安信 2021年中国软件供应链安全分析报告

文档预览
中文文档 33 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共33页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
奇安信 2021年中国软件供应链安全分析报告 第 1 页 奇安信 2021年中国软件供应链安全分析报告 第 2 页 奇安信 2021年中国软件供应链安全分析报告 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-06-17 05:32:22上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。