2024中国软件供应链安全分析报告.pdfVIP

目录

一、概述1

1、软件供应链安全攻击手段依然花样百出1

2、国内企业软件供应链安全状况有所改善4

二、国内企业自主开发源代码安全状况6

1、编程语言分布情况6

2、典型安全缺陷检出情况7

三、开源软件生态发展与安全状况8

1、开源软件生态发展状况分析9

2、开源软件源代码安全状况分析11

（1）编程语言分布情况11

（2）典型安全缺陷检出情况12

3、开源软件公开报告漏洞状况分析13

（1）大型开源项目漏洞总数及年度增长TOP2013

（2）主流开源软件包生态系统漏洞总数及年度增长TOP20..16

4、开源软件活跃度状况分析19

（1）68.7%的开源软件项目处于不活跃状态，比例下降19

I

（2）版本频繁更新的项目较去年增长21.6%20

5、关键基础开源软件分析21

（1）主流开源生态关键基础开源软件TOP5021

（2）关键基础开源软件的漏洞披露情况未见改善24

（3）关键基础开源软件的整体运维风险有所改观25

6、NPM生态中恶意开源软件分析26

（1）超95%的恶意开源组件以窃取敏感信息为目标26

（2）典型恶意开源组件及恶意行为剖析27

四、国内企业软件开发中开源软件应用状况29

1、开源软件总体使用情况分析30

（1）平均每个软件项目使用166个开源软件，再创新高30

（2）最流行的开源软件被37.2%的软件项目使用31

2、开源软件漏洞风险分析32

（1）存在容易利用的开源软件漏洞的项目占比大幅下降32

（2）平均每个项目包含的已知开源软件漏洞数明显回落33

（3）影响最广的开源软件漏洞的影响范围有所减小35

（4）20多年前的开源软件漏洞仍然存在于多个软件项目中..36

3、开源软件许可协议风险分析37

（1）最流行的开源许可协议在46.9%的项目中使用37

II

（2）超1/5的项目使用了含有超、高危许可协议的开源软件.38

4、开源软件运维风险分析40

（1）多个二三十年前的老旧开源软件版本仍在使用40

（2）开源软件各版本使用依然混乱41

五、典型软件供应链安全风险实例分析42

1、多款主流操作系统供应链攻击实例分析42

2、PHP软件供应链攻击实例分析43

3、某国产数据库供应链攻击实例分析45

六、总结及建议47

附录：奇安信代码安全实验室简介51

III

一、概述

当前，软件供应链安全依然是网络安全中备受关注的方向，基于

自研产品的技术能力和第一手实测数据，奇安信代码安全实验室继续

推出《2024中国软件供应链安全分析报告》，即本系列年度分析报告

的第四期。

软件由自主开发的代码与开源代码等第三方代码集成后，形成混

源代码，然后通过编译、连接等构建过程形成软件产品，交付给用户

使用。在这一软件供应链模型中，每个阶段中的代码或工件都可能引

入安全问题，从而导致最终软件供应链安全事件的爆发。

本期报告仍以此模型为基础，分析各阶段的代码安全问题对软件

供应链安全性的潜在威胁，分析内容分别在后续的国内企业自主开发

的源代码安全状况、开源软件生态发展与安全状况、国内企业软件开

发中开源软件应用状况、典型软件供应链安全风险实例分析等章节中

呈现。在此基础上，本报告还总结了趋势和变化。与往年报告相比，

本期报告在开源软件生态发展与安全部分新增了对NPM生态中恶意

开源软件分析的内容；在典型软件供应链安全风险实例部分，通过实

例再次验证了因软件供应链的复杂性，“外来”组件的“老漏洞”发

挥“0day漏洞”攻击作用的状况。感兴趣的读者可重点关注。

1、软件供应链安全攻击手段依然花样百出

过去的一年中，软件供应链安全攻击事件没有丝毫减少的趋势，

1

攻击手段依然花样百出。

2023年10月，安全人员分析发现了一种新型供应链攻