2023中国软件供应链安全分析报告.pptx

(1)超 7 成开源软件项目处于不活跃状态..................................16 (2)超 2.2 万个开源软件一年内更新发布超过 100 个版本.......16 5、关键基础开源软件分析 .................................................................17 (1)主流开源生态关键基础开源软件 TOP50 .............................17 (2)从未公开披露过漏洞的关键基础开源软件占比进一步升高 ............................................................................................................20 (3)关键基础开源软件的整体运维风险仍处于较高水平..........20 四、国内企业软件开发中开源软件应用状况......................................21 1、开源软件总体使用情况分析 .........................................................21 (1)平均每个软件项目使用 155 个开源软件..............................21 (2)流行开源软件被超 4 成的软件项目使用..............................22 2、开源软件漏洞风险分析 .................................................................22 (1)近 8 成软件项目存在容易利用的开源软件漏洞..................22 (2)平均每个软件项目存在 110 个已知开源软件漏洞..............23 (3)影响最广的开源软件漏洞存在于超 4 成的软件项目中......24 (4) 20 多年前的开源软件漏洞仍然存在于多个软件项目中.....25 3、开源软件许可协议风险分析 .........................................................26 (1)最流行的开源许可协议在超半数的项目中使用..................26 (2) 1/6 的项目使用了含有超、高危许可协议的开源软件........26 II 4、开源软件运维风险分析 .................................................................28 (1)近 30 年前的老旧开源软件版本仍在被使用........................28 (2)开源软件各版本使用依然混乱..............................................29 5、不同行业软件项目开源使用风险分析 .........................................29 (1)各行业软件项目分布情况......................................................29 (2)各行业软件项目使用开源软件情况......................................30 (3)各行业软件项目含已知开源软件漏洞情况..........................31 五、典型软件供应链安全风险实例分析..............................................32 1、某主流企业级无线路由器供应链攻击实例分析.........................32 2、ZCS 协同办公系统供应链攻击实例分析.....................................33 3、多款国产操作系统供应链攻击实例分析 .....................................35 4、某国产 CMS 系统供应链攻击实例分析.......................................37 六、总结及建议 ......................................................................................39 附录： 奇安信代码安全实验室简介......................................................42 III 一、 概述 过去的一年， 各界对软