2022中国软件供应链安全分析报告.pdfVIP

2022 中国软件供应链安全 分析报告 奇安信代码安全实验室 2022 年6 月 1 目 录 一、概述 1 1、软件供应链安全攻击事件保持持续高发 1 2、开源软件安全风险是当前软件供应链安全的焦点问题3 二、国内企业自主开发源代码安全状况 5 1、编程语言分布情况5 2、典型安全缺陷检出情况6 三、开源软件生态发展与安全状况 7 1、开源软件生态发展状况分析7 2、开源软件源代码安全状况分析9 （1）编程语言分布情况9 （2）典型安全缺陷检出情况 10 3、开源软件公开报告漏洞状况分析 10 （1）大型开源项目漏洞总数及年度增长TOP20 10 （2）主流开源软件包生态系统漏洞总数及年度增长TOP20 12 4、开源软件活跃度状况分析 14 （1）7 成开源软件项目处于不活跃状态 14 I （2）近2 万个开源软件一年内更新发布超过100 个版本 15 5、关键基础开源软件分析 16 （1）主流开源生态关键基础开源软件TOP50 16 （2）2/3 的关键基础开源软件从未公开披露过漏洞 19 （3）关键基础开源软件的整体运维风险较高20 四、国内企业软件开发中开源软件应用状况 20 1、开源软件总体使用情况分析21 （1）平均每个软件项目使用127 个开源软件21 （2）流行开源软件被超过1/3 的软件项目使用21 2、开源软件漏洞风险分析22 （1）77%的软件项目存在容易利用的开源软件漏洞22 （2）平均每个软件项目存在69 个已知开源软件漏洞23 （3）影响最广的开源软件漏洞存在于超3 成的软件项目中23 （4）16 年前的开源软件漏洞仍然存在于多个软件项目中25 3、开源软件许可协议风险分析25 （1）最流行的开源许可协议在超3/4 的项目中使用26 （2）45.6%的项目使用了含有高风险许可协议的开源软件26 4、开源软件运维风险分析27 （1）20 年前的老旧开源软件版本仍在被使用27 II （2）开源软件各版本使用更加混乱28 五、典型软件供应链安全风险实例分析 29 1、某主流网络接入存储(NAS)设备供应链攻击实例分析29 2、某主流VPN 路由器供应链攻击实例分析31 3、三款国产操作系统供应链攻击实例分析33 4、某国产邮件系统供应链攻击实例分析35 5、Edge 浏览器供应链攻击实例分析36 六、总结及建议38 附录：奇安信代码安全实验室简介 40 III 一、概述 数字化时代，软件的重要性和软件供应链安全问题的严峻性已成 为各方共识。为此，奇安信代码安全实验室去年发布了《2021 中国软 件供应链安全分析报告》（/threat/report /detail/132），从多个维度分析了软件供应链的安全风险，并提供了 详实的统计数据。 本报告是该系列年度分析报告的第二期，继续针对国内企业自主 开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等 的安全状况，以及典型应用系统供应链安全风险实例进行深入分析， 并总结趋势和变化。本年度报告相比于去年的报告新增了以下内容： 在开源软件生态发展与安全部分新增了关键基础开源软件分析；在企 业软件开发中的开源软件应用部分新增了漏洞利用难度的统计分析 和开源许可协议风险分析；在典型软件供应链安全风险实例部分，重 点分析了利用开源软件“老漏洞”攻破最新主流产品的实例，通过多 个实例验证了由于软件供应链的复杂性，开源软件的“老漏洞”也可 以起到“0day 漏洞”的攻击效果。上述报告内容的变化，感兴趣的读 者在阅读时可以重点关注。 1、