2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告-2023.08

2023中國(guó)軟件供應(yīng)鏈安全分析報(bào)告奇安信代碼安全實(shí)驗(yàn)室2023?

7o1目

錄一、概述

....................................................................................................11、軟件供應(yīng)鏈安全攻ü?件依然高發(fā)...............................................12、開(kāi)源軟件安全是軟件供應(yīng)鏈安全的重中之重...............................3D、國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)源代碼安全狀況................................................51、編程語(yǔ)言分布情況

...........................................................................52、典型安全缺陷檢?情況

...................................................................6三、開(kāi)源軟件生態(tài)發(fā)展P安全狀況........................................................71、開(kāi)源軟件生態(tài)發(fā)展?fàn)顩r分析

...........................................................72、開(kāi)源軟件源代碼安全狀況分析

.......................................................9?1ā編程語(yǔ)言分布情況..................................................................10?2ā典型安全缺陷檢?情況..........................................................10?3ā安全問(wèn)題修復(fù)確認(rèn)情況..........................................................113、開(kāi)源軟件}開(kāi)報(bào)告漏洞狀況分析.................................................11?1ā大型開(kāi)源項(xiàng)目漏洞總數(shù)及?度增長(zhǎng)

TOP20

.........................12?2ā主流開(kāi)源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及?度增長(zhǎng)

TOP20

.....144、開(kāi)源軟件活躍度狀況分析

.............................................................15I?1ā超

7成開(kāi)源軟件項(xiàng)目處于O活躍狀態(tài)..................................16?2ā超

2.2萬(wàn)個(gè)開(kāi)源軟件一?內(nèi)更新發(fā)布超過(guò)

100個(gè)版本.......165、關(guān)鍵基礎(chǔ)開(kāi)源軟件分析

.................................................................17?1ā主流開(kāi)源生態(tài)關(guān)鍵基礎(chǔ)開(kāi)源軟件

TOP50

.............................17?2āD未}開(kāi)披露過(guò)漏洞的關(guān)鍵基礎(chǔ)開(kāi)源軟件占比進(jìn)一步升高............................................................................................................20?3ā關(guān)鍵基礎(chǔ)開(kāi)源軟件的整體?維風(fēng)險(xiǎn)?處于較高水..........20四、國(guó)內(nèi)企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用狀況......................................211、開(kāi)源軟件總體使用情況分析

.........................................................21?1ā均每個(gè)軟件項(xiàng)目使用

155個(gè)開(kāi)源軟件..............................21?2ā流行開(kāi)源軟件被超

4成的軟件項(xiàng)目使用..............................222、開(kāi)源軟件漏洞風(fēng)險(xiǎn)分析

.................................................................22?1āà

8成軟件項(xiàng)目存在容易利用的開(kāi)源軟件漏洞..................22?2ā均每個(gè)軟件項(xiàng)目存在

110個(gè)已知開(kāi)源軟件漏洞..............23?3ā影響最廣的開(kāi)源軟件漏洞存在于超

4成的軟件項(xiàng)目中......24?4ā20

多?前的開(kāi)源軟件漏洞?然存在于多個(gè)軟件項(xiàng)目中.....253、開(kāi)源軟件許可協(xié)議風(fēng)險(xiǎn)分析

.........................................................26?1ā最流行的開(kāi)源許可協(xié)議在超半數(shù)的項(xiàng)目中使用..................26?2ā1/6的項(xiàng)目使用了含p超、高危許可協(xié)議的開(kāi)源軟件........26II4、開(kāi)源軟件?維風(fēng)險(xiǎn)分析

.................................................................28?1āà

30?前的老舊開(kāi)源軟件版本?在被使用........................28?2ā開(kāi)源軟件各版本使用依然混亂..............................................295、O\行業(yè)軟件項(xiàng)目開(kāi)源使用風(fēng)險(xiǎn)分析.........................................29?1ā各行業(yè)軟件項(xiàng)目分布情況......................................................29?2ā各行業(yè)軟件項(xiàng)目使用開(kāi)源軟件情況......................................30?3ā各行業(yè)軟件項(xiàng)目含已知開(kāi)源軟件漏洞情況..........................31五、典型軟件供應(yīng)鏈安全風(fēng)險(xiǎn)實(shí)例分析..............................................321、某主流企業(yè)級(jí)無(wú)線路由器供應(yīng)鏈攻ü實(shí)例分析.........................322、ZCS

協(xié)\辦}系統(tǒng)供應(yīng)鏈攻ü實(shí)例分析.....................................333、多款國(guó)產(chǎn)操作系統(tǒng)供應(yīng)鏈攻ü實(shí)例分析.....................................354、某國(guó)產(chǎn)

CMS

系統(tǒng)供應(yīng)鏈攻ü實(shí)例分析.......................................37~、總結(jié)及建議

......................................................................................39附錄：奇安信代碼安全實(shí)驗(yàn)室簡(jiǎn)介......................................................42III一、概述過(guò)去的N?，各界對(duì)軟t供à鏈安全的s注度依然高漲，相s安全攻ü?t也持續(xù)增à2~m，奇安信代碼安全實(shí)驗(yàn)室在前n期:中?軟t供à鏈安全V析?告;?/threat/reportdetail?report_id=161ā的基礎(chǔ)P，è?本V析?告2作~該系列?度V析?告的第O期，本?告繼續(xù)針對(duì)?內(nèi)企業(yè)自開(kāi)發(fā)的源代碼1開(kāi)源軟t生態(tài)1?內(nèi)企業(yè)軟t開(kāi)發(fā)中開(kāi)源軟tà用等的安全狀況，以及y型à用系統(tǒng)供à鏈安全風(fēng)險(xiǎn)實(shí)例?ì深入V析，并總結(jié)?勢(shì)和ù化2相比于去?的?告，本?告p以Q新增之處?在開(kāi)源軟t生態(tài)發(fā)展P安全部V新增了開(kāi)源項(xiàng)目維?者對(duì)他人e交安全問(wèn)題的修復(fù)確認(rèn)情況ā在企業(yè)軟t開(kāi)發(fā)中的開(kāi)源軟tà用部V新增了對(duì)O\ì業(yè)軟t項(xiàng)目開(kāi)源使用風(fēng)險(xiǎn)的V析，對(duì)開(kāi)源許?`ˉ的風(fēng)險(xiǎn)V析V別統(tǒng)計(jì)了超t和高t開(kāi)源許?`ˉ的使用情況ā在y型軟t供à鏈安全風(fēng)險(xiǎn)實(shí)例部V，通過(guò)多個(gè)新的實(shí)例再次驗(yàn)證了因軟t供à鏈的復(fù)g性，開(kāi)源軟t的<老漏洞=發(fā)揮<0day漏洞=攻ü作用的狀況2感t趣的讀者閱讀時(shí)?T點(diǎn)s注P述ù化之處21、軟件供應(yīng)鏈安全攻ü?件依然高發(fā)在過(guò)去的N?中，針對(duì)軟t供à鏈的安全攻ü?t持續(xù)增à，r的t害也愈發(fā)oT22022?

7o，攻ü者通過(guò)在

NPMP發(fā)布包時(shí)繞過(guò)?因子認(rèn)證1(2FA)，創(chuàng)建了

1000多個(gè)用戶賬號(hào)，攻ü者利用à?賬號(hào)自ú投1283個(gè)包含挖礦腳本

eazyminer的惡意模塊，利用數(shù)據(jù)?1Web等所在服á器的機(jī)器閑置資源?ì挖礦，如果開(kāi)發(fā)者安裝了à?包，則b在被調(diào)用時(shí)挖掘門羅幣22022

?

11

o，美?

FBI

和

CISA

發(fā)布聯(lián)合|告指?，未x]的伊朗組?利用

Log4Shell漏洞入侵了美聯(lián)邦民?ì?部門

FCEBQ屬機(jī)構(gòu)的Nā未修復(fù)的

VMware

Horizon服á器，并部署了挖礦惡意軟t

XMRig2FBI和

CISAe到，所p尚未修復(fù)

VMware系統(tǒng)中

Log4Shell漏洞的機(jī)構(gòu)都?能遭?m類攻ü22022?

12o，安全研究人員發(fā)現(xiàn)了

GitHub

Actions的N個(gè)oT漏洞，該漏洞?

r惡意軟t植入攻ü，?而?響使用

GitHubActions的軟t項(xiàng)目，如Q游軟t項(xiàng)目以惡意代碼編譯更新等2GitHub證實(shí)了該問(wèn)題的`在，并頒發(fā)了賞金，Rust修復(fù)了易?攻ü的管道22023?

2o，半導(dǎo)體ì業(yè)技術(shù)巨頭

Applied

Materialsā?wN家要的供à商因遭?勒索軟t攻ü而被迫中斷生產(chǎn)，à將?響w第D季度的交付2該攻ü?t及l(fā)在?ì的w他供à鏈挑戰(zhàn)將使w第D季度的r本增àt

2.5億美元22023?

3o，安全研究人員發(fā)現(xiàn)，à聯(lián)網(wǎng)語(yǔ)音`ˉ交換機(jī)?VoIPIPBXā軟t開(kāi)發(fā)廠商

3CX的

VoIP桌面ü戶端在通過(guò)

Git?ì構(gòu)建時(shí)，注入了因供à鏈攻ü而引入的惡意代碼，并使用合法的

3CX

Ltd證書(shū)?ì了數(shù)_簽]，w中N個(gè)惡意

DLL是利用了N個(gè)`在à

10

?的Windows簽]驗(yàn)證漏洞(CVE-2013-3900)通過(guò)簽]的2`用戶安裝à2用時(shí)，bà載惡意

DLL，?而收集系統(tǒng)信息1竊×數(shù)據(jù)和憑據(jù)等，r敏感數(shù)據(jù)泄露23CX

Phone

System被全球超

60萬(wàn)家企業(yè)使用，每y用戶超過(guò)

1200萬(wàn)22023?

5o，網(wǎng)t安全研究員對(duì)?用于

Linux和

Unixā的熱門開(kāi)源à聯(lián)網(wǎng)路由`ˉ套t

FRRouting

中網(wǎng)s`ˉ

BGP

的

7

種O\實(shí)現(xiàn)軟t?ì了V析，發(fā)現(xiàn)`在O個(gè)漏洞，它們的

CVSS評(píng)V均~

6.5，?被用于在易?攻ü的

BGP

對(duì)等體P實(shí)現(xiàn)拒?服á條t2目前FRRouting用于多家廠商如

NVIDIACumulus1DENT和

SONiC中22、開(kāi)源軟件安全是軟件供應(yīng)鏈安全的重中之重奇安信代碼安全實(shí)驗(yàn)室通過(guò)數(shù)據(jù)V析發(fā)現(xiàn)，P前n?相比，開(kāi)源軟t自身的安全狀況持續(xù)Q滑，?內(nèi)企業(yè)軟t開(kāi)發(fā)中因使用開(kāi)源軟t而引入安全風(fēng)險(xiǎn)的狀況更à糟糕2m外，開(kāi)源項(xiàng)目維?人員對(duì)安全問(wèn)題的修復(fù)?極性較P2開(kāi)源軟t供à鏈安全風(fēng)險(xiǎn)管?依然值得持續(xù)s注，需要更大的投入21ā開(kāi)源生態(tài)發(fā)展依然迅猛，開(kāi)源軟t自身安全狀況持續(xù)Q滑過(guò)去N?，流開(kāi)源軟t包生態(tài)系統(tǒng)中開(kāi)源項(xiàng)目總量增長(zhǎng)了25.1%，開(kāi)源生態(tài)發(fā)展依然迅猛2Pm\時(shí)，開(kāi)源軟t漏洞數(shù)量也持續(xù)增長(zhǎng)，2022?新增的開(kāi)源軟t漏洞~

7682個(gè)āO?來(lái)O活躍的開(kāi)源項(xiàng)目占比D

61.6%169.9%

漸升高ó

72.1%2?據(jù)<奇安信開(kāi)源項(xiàng)目檢測(cè)計(jì)劃=的實(shí)測(cè)數(shù)據(jù)顯示，O?來(lái)開(kāi)源軟t的總體缺陷密度和高t缺陷密度呈現(xiàn)?

?P升的?勢(shì)，均處于較高水ā十類y型缺陷3的總體檢?率~

72.3%，P去?

73.5%相`，à高于前?的

56.3%2總體來(lái)看，開(kāi)源軟t自身的安全問(wèn)題愈發(fā)o峻22ā開(kāi)源項(xiàng)目維?者對(duì)安全問(wèn)題的T視度和修復(fù)?極性較P2022?，<奇安信開(kāi)源項(xiàng)目檢測(cè)計(jì)劃=共U各被測(cè)開(kāi)源項(xiàng)目的維?者à饋

1484

個(gè)安全問(wèn)題，僅p

547

個(gè)得到確認(rèn)并修復(fù)，w他

937個(gè)à饋O修復(fù)1未à饋，或無(wú)人處理，安全問(wèn)題的修復(fù)率僅~

36.9%2另?yè)?jù)統(tǒng)計(jì)發(fā)現(xiàn)，N個(gè)安全問(wèn)題De交到維?人員à饋確認(rèn)并修復(fù)，時(shí)間較長(zhǎng)的?長(zhǎng)達(dá)N?甚ó更久23ā?內(nèi)企業(yè)因使用開(kāi)源軟t而引入安全風(fēng)險(xiǎn)的狀況更à糟糕2022?，奇安信代碼安全實(shí)驗(yàn)室對(duì)

2631個(gè)?內(nèi)企業(yè)軟t項(xiàng)目中使用開(kāi)源軟t的情況?ìV析發(fā)現(xiàn)?均每個(gè)項(xiàng)目使用

155個(gè)開(kāi)源軟t，à高于之前的

126和

127個(gè)ā`在已知開(kāi)源軟t漏洞的項(xiàng)目占比達(dá)

91.6%，均每個(gè)項(xiàng)目`在

110個(gè)已知開(kāi)源軟t漏洞，項(xiàng)目中最?老的開(kāi)源軟t漏洞的發(fā)現(xiàn)時(shí)間?追溯ó

21

?前ā1/6

的項(xiàng)目中使用了含p超t或高t許?`ˉ的開(kāi)源軟tāà

30

?前的老?開(kāi)源軟tx本?然在使用，\N開(kāi)源軟t各x本的使用依然混亂2整體的安全風(fēng)險(xiǎn)狀況P前n?相比更à糟糕，風(fēng)險(xiǎn)水?處于較高狀態(tài)2另N方面，s們發(fā)現(xiàn)

2022

?許多機(jī)構(gòu)和企業(yè)更às注開(kāi)源軟t供à鏈安全，N?機(jī)構(gòu)和企業(yè)基于規(guī)范的流程，在開(kāi)源安全治理工x的輔?Q開(kāi)展相s工作2但D目前?內(nèi)企業(yè)軟t開(kāi)發(fā)中使用開(kāi)源軟t的安全風(fēng)險(xiǎn)狀況來(lái)看，à?經(jīng)驗(yàn)1方法和工x?需要?Nn的持續(xù)è廣和à用24D、國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)源代碼安全狀況軟t源代碼安全是軟t供à鏈安全的基礎(chǔ)22022?全?，奇安信代碼安全實(shí)驗(yàn)室對(duì)

1589

個(gè)?內(nèi)企業(yè)自開(kāi)發(fā)的軟t項(xiàng)目源代碼?ì了安全缺陷檢測(cè)，檢測(cè)的代碼總量~

347814428ì，共發(fā)現(xiàn)安全缺陷3751450個(gè)，w中高t缺陷

300459個(gè)，整體缺陷密度~

10.78個(gè)/千ì，高t缺陷密度~

0.85個(gè)/千ì2P前n?相比，整體缺陷密度略微升高，高t缺陷密度較去?p所à，但P于前?水2自主開(kāi)發(fā)軟件均缺陷密度三?對(duì)比1210.7810.119.8510864201.080.850.652021?2020?2022?缺陷密度(個(gè)/千行)高危缺陷密度(個(gè)/千行)1、編程語(yǔ)言分布情況在

1589個(gè)?內(nèi)企業(yè)自開(kāi)發(fā)的軟t項(xiàng)目中，共使用了

14種編程語(yǔ)言，使用數(shù)量排]前

3的~

Java1C/C++1NodeJS，對(duì)à的軟t項(xiàng)目數(shù)量V別~

1209

個(gè)1105

個(gè)和

60

個(gè)，w中

Java

語(yǔ)言項(xiàng)目占比達(dá)76.1%2?以看?，?內(nèi)企業(yè)在?ì軟t開(kāi)發(fā)時(shí)，Java語(yǔ)言?然是首?，`比例更大2編程語(yǔ)言的V布情況如Qā所示25OC,8,0.5%Ruby,

8,0.5%Go,24,

1.5%SQL,

7,0.4%Scala,6,

0.4%Swift,

5,0.3%Cobol,5,0.3%Kotlin,

4,

0.3%Python,

40,

2.5%C#,54,

3.4%PHP,

54,

3.4%NodeJS,60,

3.8%C/C++,

105,

6.6%JAVA,

1209,76.1%國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)的軟件項(xiàng)目編程語(yǔ)言總體分布情況2、典型安全缺陷檢?情況V析

1589

個(gè)軟t項(xiàng)目的源代碼缺陷檢測(cè)結(jié)果發(fā)現(xiàn)，注入1密碼管理1?志偽

1跨站腳本1NULL引用1配置管理1輸入驗(yàn)證1資源管理1路徑遍歷1API誤用等十類y型安全缺陷的總體檢?率?檢?率指含p某類缺陷的軟t項(xiàng)目數(shù)占軟t項(xiàng)目總數(shù)的比例ā~

74.1%，高于去??告的

59.9%，P前?的

77.8%相`2每類y型缺陷àO?的檢?率及排]情況如Q表所示2排]

2022檢?率及排]2021檢?率及排]2020檢?率及排]12345678輸入驗(yàn)證?50.5%ā跨站腳本?44.2%ā資源管理?43.3%ā輸入驗(yàn)證?41.8%ā跨站腳本?35.1%āAPI誤用?31.5%ā輸入驗(yàn)證?50.8%ā路徑遍歷?39.6%ā跨站腳本?39.5%ā注入?37.3%āNULL引用?43.1%ā

NULL引用?30.2%ā注入?40.1%ā路徑遍歷?40.0%ā密碼管理?30.3%āAPI誤用?30.1%ā資源管理?29.9%ā

NULL引用?31.8%ā路徑遍歷?28.4%ā注入?26.3%ā資源管理?31.6%ā密碼管理?31.0%āAPI誤用?28.7%ā密碼管理?22.8%ā69配置管理?24.8%ā?志偽

?17.6%ā配置管理?18.2%ā?志偽

?12.5%ā配置管理?28.0%ā?志偽

?18.2%ā10D表中?以看?，O?來(lái)，輸入驗(yàn)證1跨站腳本1NULL引用是檢?率較高的缺陷類型，配置管理和?志偽

類缺陷檢?率較P2除

API誤用類缺陷的檢?率略pQ降外，w他類型缺陷的檢?率均比去?pO\程度的升高，又普遍回到或超過(guò)了前?的水2?內(nèi)企業(yè)在自開(kāi)發(fā)軟t代碼的安全質(zhì)量方面O能ì以輕心2三、開(kāi)源軟件生態(tài)發(fā)展P安全狀況開(kāi)源軟t在現(xiàn)代軟t開(kāi)發(fā)中的基礎(chǔ)作用已得到普遍認(rèn)?2本?度?告依然D開(kāi)源軟t生態(tài)發(fā)展?fàn)顩r1開(kāi)源軟t源代碼安全狀況1開(kāi)源軟t|開(kāi)?告漏洞狀況1開(kāi)源軟t活躍度狀況1s鍵基礎(chǔ)開(kāi)源軟tV析等五個(gè)方面對(duì)

2022

?開(kāi)源軟t生態(tài)發(fā)展P安全狀況?ì綜合V析21、開(kāi)源軟件生態(tài)發(fā)展?fàn)顩r分析?據(jù)奇安信代碼安全實(shí)驗(yàn)室的監(jiān)測(cè)和統(tǒng)計(jì)，2021?á和

2022?á，流開(kāi)源軟t包生態(tài)系統(tǒng)中開(kāi)源項(xiàng)目總量V別~

4395386個(gè)和5499977，N?間增長(zhǎng)了

25.1%ā截ó

2022?á，流開(kāi)源軟t包生態(tài)系統(tǒng)中均每個(gè)開(kāi)源項(xiàng)目p

12.6個(gè)x本，較前n??告的

11.8個(gè)和

10.2個(gè)呈持續(xù)增長(zhǎng)的?勢(shì)2?以看?，2022?開(kāi)源軟t生態(tài)依然繁榮2對(duì)

Maven1NPM1Packagist1Pypi1Godoc1Nuget1Rubygems17Swift等{個(gè)y型開(kāi)源軟t包生態(tài)系統(tǒng)的x體V析如Q?NPM包生態(tài)項(xiàng)目數(shù)量依然最多，Godoc包生態(tài)增?依然最快2àN狀況P前n??告保持N?2{個(gè)y型的開(kāi)源軟t包生態(tài)系統(tǒng)中開(kāi)源項(xiàng)目數(shù)量和增長(zhǎng)率情況如Qā所示，w中開(kāi)源項(xiàng)目數(shù)量最多的是NPM

包生態(tài)系統(tǒng)，截ó

2022

?á，w開(kāi)源項(xiàng)目數(shù)量達(dá)到了

2328687個(gè)，à高于w他開(kāi)源包生態(tài)ā開(kāi)源項(xiàng)目數(shù)量增?最快的是

Godoc包生態(tài)系統(tǒng)，2022?N?間的項(xiàng)目總量增?達(dá)到了

55.8%，Nuget的增長(zhǎng)也很快，達(dá)

53.6%2典型開(kāi)源軟件包生態(tài)系統(tǒng)中項(xiàng)目數(shù)量變化情況25000002000000150000010000005000000RubygemMavenNPMPackagistPypiGodocNugetSwifts2021?數(shù)量

542743

1892984

3405412022?數(shù)量

656090

2328687

38262335297343897324.4%32826151158755.8%37561457680053.6%1684361736913.1%82999901368.6%增長(zhǎng)率20.9%23.0%12.4%Maven和

NPM包生態(tài)系統(tǒng)的開(kāi)源項(xiàng)目開(kāi)發(fā)者?然是<最勤奮=的，開(kāi)源項(xiàng)目的均x本數(shù)超過(guò)

13個(gè)2截ó

2022?á，{個(gè)y型的開(kāi)源軟t包生態(tài)系統(tǒng)的開(kāi)源項(xiàng)目數(shù)量和x本數(shù)量如Q表所示2w中，Maven包生態(tài)系統(tǒng)均每個(gè)開(kāi)源項(xiàng)目p高達(dá)

21.9

個(gè)x本，也是均x本數(shù)增長(zhǎng)最快的包生態(tài)系統(tǒng)āw他增長(zhǎng)較快的?p

Packagist

和

GodocāNuget是開(kāi)源項(xiàng)目均x本數(shù)唯N降P的包生態(tài)系統(tǒng)，D去?的

12.7降~今?的

11.028序號(hào)

包生態(tài)系統(tǒng)

2022?項(xiàng)目數(shù)2022?版本數(shù)均版本數(shù)12345678MavenNPM65609023286873826234389735115875768001736919013614348900312153624551007423654648178926344100129036860481621.913.411.99.7PackagistPypiGodoc9.4Nuget11.07.4RubygemsSwift6.72、開(kāi)源軟件源代碼安全狀況分析2022

?全?,<奇安信開(kāi)源項(xiàng)目檢測(cè)計(jì)劃=對(duì)

2098

個(gè)開(kāi)源軟t項(xiàng)目的源代碼?ì了安全檢測(cè)，代碼總量~

173174712ì，共發(fā)現(xiàn)安全缺陷

3646486個(gè)，w中高t缺陷

222640個(gè)，整體缺陷密度~

21.06個(gè)/千ì，高t缺陷密度~

1.29

個(gè)/千ì2O?來(lái)缺陷密度和高t缺陷密度均呈現(xiàn)?

?P升的?勢(shì)2開(kāi)源軟件均缺陷密度三?對(duì)比2521.062016.1114.96151051.292022?0.952020?0.992021?0缺陷密度(個(gè)/千行)高危缺陷密度(個(gè)/千行)9?1ā編程語(yǔ)言分布情況2022

?檢測(cè)的

2098

個(gè)開(kāi)源項(xiàng)目中，共?及

10

種編程語(yǔ)言，V別是

Java1C/C++1Python1OC1Go1JavaScript1Kotlin1Scala1Ruby和

PHP，編程語(yǔ)言的V布情況如Qā所示2開(kāi)源項(xiàng)目編程語(yǔ)言總體分布情況Scala,

39,1.9%PHP,51,2.4%OC,101,

4.8%Ruby,50,2.4%Go,28,

1.3%Java,

704,33.6%Kotlin,

109,5.2%Javascript,

298,14.2%C/C++,

346,16.5%Python,372,17.7%?2ā典型安全缺陷檢?情況對(duì)

2098

個(gè)開(kāi)源軟t項(xiàng)目的缺陷檢測(cè)結(jié)果V析發(fā)現(xiàn)，注入1密碼管理1?志偽

1跨站腳本1NULL引用1配置管理1輸入驗(yàn)證1資源管理1路徑遍歷1API誤用等十類y型安全缺陷的總體檢?率~

72.3%，P去?的

73.5%相`，但à高于前?的

56.3%2每類y型缺陷àO?的檢?率及排]情況如Q表所示2排]

2022檢?率及排]2021檢?率及排]路徑遍歷?36.7%ā2020檢?率及排]12資源管理?35.0%ā輸入驗(yàn)證?50.8%ā路徑遍歷?39.6%āNull引用?31.7%ā

Null引用?36.5%ā1034輸入驗(yàn)證?29.5%ā路徑遍歷?28.6%ā注入?21.8%ā資源管理?33.0%ā輸入驗(yàn)證?25.1%ā跨站腳本?39.5%ā注入?37.3%ā5密碼管理?23.5%ā

Null引用?31.8%ā6API誤用?18.6%ā?志偽

?17.3%ā跨站腳本?10.9%ā配置管理?9.4%ā密碼管理?7.5%ā?志偽

?22.9%ā注入?21.4%ā資源管理?31.6%ā密碼管理?31.0%āAPI誤用?28.7%ā配置管理?28.0%ā?志偽

?18.2%ā78API誤用?18.2%ā跨站腳本?15.0%ā配置管理?10.8%ā910?以看?，àO?y型缺陷的檢?率和排]均pO\程度的ù化2總體而言，除資源管理類缺陷小幅P升，輸入驗(yàn)證1?志偽

類缺陷PQ浮ú外，w他

7類缺陷的檢?率均呈現(xiàn)?總體Q降的?勢(shì)2?3ā安全問(wèn)題修復(fù)確認(rèn)情況2022?，<奇安信開(kāi)源項(xiàng)目檢測(cè)計(jì)劃=共U各被測(cè)開(kāi)源項(xiàng)目維?者à饋

1484個(gè)安全問(wèn)題?issuesā，w中

547個(gè)得到確認(rèn)并修復(fù)，w余的

937個(gè)à饋O修復(fù)1未à饋，或無(wú)人處理?issues狀態(tài)~

Openā，修復(fù)率僅~

36.9%2開(kāi)源項(xiàng)目維?者對(duì)安全問(wèn)題的T視程度?較P2通過(guò)對(duì)à?

issues生命周期的V析發(fā)現(xiàn)，N個(gè)

issue

De交到維?人員à饋確認(rèn)并修復(fù)的時(shí)間，最快~N周，較長(zhǎng)的?長(zhǎng)達(dá)N?甚ó更久23、開(kāi)源軟件}開(kāi)報(bào)告漏洞狀況分析?據(jù)奇安信代碼安全實(shí)驗(yàn)室監(jiān)測(cè)P統(tǒng)計(jì)，截ó

2022

?á，CVE/NVD1CNNVD1CNVD

等|開(kāi)漏洞?中共收錄開(kāi)源軟t相s漏洞1157610個(gè)，w中p

7682個(gè)漏洞~

2022?新增2?1ā大型開(kāi)源項(xiàng)目漏洞總數(shù)及?度增長(zhǎng)

TOP20截ó

2022?á，歷史漏洞總數(shù)排]前

20的大型開(kāi)源項(xiàng)目信息如Q表所示2Linux

Kernel1Chromium

(Google

Chrome)和

MozillaFirefox已a(bǔ)續(xù)O?排]前

32歷史漏序號(hào)大型開(kāi)源項(xiàng)目主頁(yè)地址//洞總數(shù)1

LinuxKernel5337Chromium230722440(GoogleChrome)/en-US/firefox/3

MozillaFirefox4

Thunderbird5

MySQL/zh-CN//14271346AdobeFlash6/products/flashplayer/end-of-life.html1089Playerplugin7

linux-aws8

GitLab/855786770759740764642635649//9

linux-gcp10

linux-azure11

PHP//12

SeaMonkey13

ImageMagick14

Wireshark15

WebKitGTK//index.php///en-US/firefox/enterprise/16

FirefoxESR97617

OpenJDK18

Moodle19

Jenkins//585495483https://www.jenkins.io/12XenProject(Hypervisor)20/4862022?N?間，|開(kāi)?告漏洞數(shù)量增長(zhǎng)排]前

20的大型開(kāi)源項(xiàng)目信息如Q表所示，Linux

Kernel

依然是N?來(lái)增à漏洞最多的項(xiàng)目，達(dá)到

579個(gè)22022

?漏洞增量序號(hào)大型開(kāi)源項(xiàng)目主頁(yè)地址1

LinuxKernel//579Chromium(GoogleChrome)2356169/en-US/firefox/3

MozillaFirefox4

TensorFlow5

GitLab6

MySQL///165161160/zh-CN/7

Thunderbird1278

Jenkins9

Vimhttps://www.jenkins.io//117115/en-US/firefox/enterprise/10

FirefoxESR10611

gpachttp://gpac.io/9888777473666012

TeXLive13

linux-aws14

linux-azure15

linux-gcp16

Microweber17

MariaDB/texlive//////XenProject18//6249(Hypervisor)19

LiferayPortal1320

Radare/48?2ā主流開(kāi)源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及?度增長(zhǎng)

TOP20截ó

2022

?á，流開(kāi)源軟t包生態(tài)系統(tǒng)中歷史漏洞總數(shù)排]前

20的開(kāi)源軟t信息如Q表所示2序號(hào)1

TensorFlow開(kāi)源軟件所屬包生態(tài)系統(tǒng)

歷史漏洞總數(shù)PypiNugetMaven4103212272

ChakraCore3

JenkinsElectron-Cross-platformdesktopapplicationshell4NPM1961891835

ApacheTomcatElectron-Cross-platformdesktopapplicationshellMavenMaven67

TYPO3CMS8

OpenSSLPackagistConan149147130119117116105989

FFmpeg-iOS10

MagentoCore11

RubyonRails12

phpMyAdmin13

OpenSSLSwiftPackagistRubygemsPackagistSwift14

DjangoPypi15

DolibarrERP&CRM16

Drupal(core)17

PlonePackagistPackagistPypi96939118

silverstripe-framework19

keycloakPackagistMaven898520

DjangoConda842022

?N?間，流開(kāi)源軟t包生態(tài)系統(tǒng)中|開(kāi)?告漏洞數(shù)量14增長(zhǎng)排]前

20的開(kāi)源軟t信息如Q表所示2序號(hào)開(kāi)源軟件所屬包生態(tài)系統(tǒng)

2022

?漏洞增量1

TensorFlow2

XWikiPypi16544MavenElectron-Cross-platformdesktopapplicationshellElectron-Cross-platformdesktopapplicationshell34NPM4441Maven5

rdiffWebPypiPackagistMaven403030282320202020191918181717166

pimcore7

ms-mcms8

Goprogramminglanguage9

ShowDocGodocPackagistNPM10

grafana11

librenmsPackagistPackagistGodoc12

CodeIgniter13

Mattermost14

GLPIPackagistMaven15

Jenkins16

incubator-airflow17

TYPO3CMS18

libTIFFPypiPackagistConan19

Rocket.Chat20

XWikiPlatformNPMMaven4、開(kāi)源軟件活躍度狀況分析s們依然把活躍度作~衡量開(kāi)源軟t安全性的N個(gè)維度2O活躍的開(kāi)源軟t，N??現(xiàn)安全漏洞，難以得到及時(shí)的修復(fù)ā活躍的開(kāi)源軟t中，如果wx本更新發(fā)布的頻率過(guò)高，\b增à使用者?維的15r本和安全風(fēng)險(xiǎn)2?1ā超

7成開(kāi)源軟件項(xiàng)目處于O活躍狀態(tài)s們將超過(guò)N?未更新發(fā)布過(guò)x本的開(kāi)源軟t項(xiàng)目定O~O活躍項(xiàng)目22022?全?，流開(kāi)源軟t包生態(tài)系統(tǒng)中O活躍的開(kāi)源軟t項(xiàng)目數(shù)量~

3967204

個(gè)，占比高達(dá)

72.1%，P去?的

69.9%和前?的61.6%相比，呈現(xiàn)?

?升高的?勢(shì)2對(duì){個(gè)y型的開(kāi)源軟t包生態(tài)系統(tǒng)?ìV析和比較發(fā)現(xiàn)，除Nuget外，w他各包生態(tài)系統(tǒng)中O活躍項(xiàng)目的占比較去??告數(shù)據(jù)均p小幅升高，Nuget則D去?的

68.1%大幅Q降ó

54.3%2NPM的O活躍項(xiàng)目數(shù)量最多，達(dá)

1693287個(gè)，Rubygems的O活躍項(xiàng)目比例?~最高，占比高達(dá)

90.5%2x體數(shù)據(jù)見(jiàn)Q表2序號(hào)

包生態(tài)系統(tǒng)項(xiàng)目總數(shù)O活躍項(xiàng)目數(shù)O活躍項(xiàng)目比例12MavenNPM65609023286873826234389735115875768001736919013645155716932872834082894683484573134491572307854868.8%72.7%74.1%65.9%68.1%54.3%90.5%87.1%3

Packagist45678PypiGodocNugetRubygemsSwift?2ā超

2.2萬(wàn)個(gè)開(kāi)源軟件一?內(nèi)更新發(fā)布超過(guò)

100個(gè)版本2022

?全?，流開(kāi)源軟t包生態(tài)系統(tǒng)中，更新發(fā)布

100

個(gè)以Px本的開(kāi)源項(xiàng)目p

22403

個(gè)，明顯高于去?的

19265

個(gè)和前?的1613411個(gè)，P包生態(tài)系統(tǒng)中項(xiàng)目數(shù)量相\，呈現(xiàn)?

?P升的?勢(shì)2{個(gè)y型的開(kāi)源軟t包生態(tài)系統(tǒng)中，N?內(nèi)更新發(fā)布超過(guò)

100個(gè)x本的項(xiàng)目數(shù)量見(jiàn)Q表2一?內(nèi)發(fā)布超過(guò)

100個(gè)版本的項(xiàng)目數(shù)量排]包生態(tài)系統(tǒng)對(duì)應(yīng)的開(kāi)發(fā)語(yǔ)言12345678NPMMavenJavascriptJava1258136962250157298988924818Nuget.NETGodocGoPypiPythonPHPPackagistRubygemsSwiftRubySwift5、關(guān)鍵基礎(chǔ)開(kāi)源軟件分析去?的?告中，s們新增了<s鍵基礎(chǔ)開(kāi)源軟t=

安全狀況V析，即被_多w他開(kāi)源軟t所依賴??據(jù)經(jīng)驗(yàn)x體定O~直接依賴數(shù)大于

1000ā的N類開(kāi)源軟t2今?的?告中延續(xù)了該部V內(nèi)容，繼續(xù)對(duì)àN類軟t的安全性?ìV析2?1ā主流開(kāi)源生態(tài)關(guān)鍵基礎(chǔ)開(kāi)源軟件

TOP50去??告中e到，D安全的視角來(lái)看，如果開(kāi)源軟t?現(xiàn)漏洞^，r的大效à?大，?響的范圍?廣，那Nà個(gè)軟t就?T要2本?告依然將直接依賴數(shù)大于

1000

的開(kāi)源軟t定O~s鍵基礎(chǔ)開(kāi)源軟t217V析發(fā)現(xiàn)，截k

2022?á，Maven1NPM1Nuget1Pypi1Packagist1Rubygems等流開(kāi)源生態(tài)中直接依賴數(shù)大于

1000的開(kāi)源軟t共p1254款，較

2021?áP漲

17.4%，直接依賴數(shù)排]

TOP50的軟t如Q表2開(kāi)源軟t

junit:junit的直接依賴數(shù)a續(xù)n?O居榜首，今?達(dá)

102980，較去?增à了

7366，也就是說(shuō)N?之中新增

7366款開(kāi)源軟t直接依賴于它2ApacheLog4j2依然排在

100]以外2排]開(kāi)源軟件所屬包生態(tài)系統(tǒng)直接依賴數(shù)1

junit:junit2

rakeMavenRubygemsMavenRubygemsRubygemsNugetMavenNPM10298079723746106943059289565645637854913466014496241314398343798833989319283158930330292543

org.scala-lang:scala-library4

bundler5

rspec6

Newtonsoft.Json7

org.slf4j:slf4j-api8

tslib9

numpyPypi10

requestsPypi11

chalkNPM12

commanderNPM13

lodashNPM14

illuminate/support15

expressPackagistNPM16

guzzlehttp/guzzle17

pandasPackagistPypi18

com.google.guava:guavaMavenorg.jetbrains.kotlin:kotlin-stdlib-common19MavenNPM291652838620

axios1821

pytestPypiMavenNPM27525267702669125821256902542322

ch.qos.logback:logback-classic23

inquirer24

org.mockito:mockito-core25

reactMavenNPM26

requestNPMcom.fasterxml.jackson.core:jackson-databind27MavenNPM23215223812216828

fs-extramons:commons-29Mavenlang3org.jetbrains.kotlin:kotlin-stdlib-jdk830Maven2209131

commons-io:commons-io32

matplotlibMavenPypi21855204181895918194181121763816526163871628714788147561465714624145481405113988139491376233

scipyPypi34

org.clojure:clojure35

typescriptMavenNPM36

jectlombok:lombok37

PyYAMLMavenPypi38

react-domNPM39

laravel/framework40

clickPackagistPypi41

momentNPM42

log4j:log4jMavenMavenRubygemsMavenMavenPypi43

com.google.code.gson:gson44

pry45

org.slf4j:slf4j-log4j1246

org.assertj:assertj-core47

odoo48

yiisoft/yii2Packagist1949

activesupport50

railsRubygemsRubygems1313713105?2āD未}開(kāi)披露過(guò)漏洞的關(guān)鍵基礎(chǔ)開(kāi)源軟件占比進(jìn)一步升高開(kāi)源軟t漏洞披露依然表現(xiàn)?參差O齊的狀況，既p漏洞披露流程很l規(guī)的`秀開(kāi)源項(xiàng)目，也p很多沒(méi)p漏洞披露流程的開(kāi)源項(xiàng)目2對(duì)

2022?的數(shù)據(jù)V析發(fā)現(xiàn)，在

1254款s鍵基礎(chǔ)開(kāi)源軟t中，p

905款D未|開(kāi)披露過(guò)漏洞，占比~

72.2%，高于去??告中的

66.6%2rà種現(xiàn)象的要原因沒(méi)ù，依然pn個(gè)，即p的開(kāi)源軟t，特別是p的開(kāi)源社|中的軟t，漏洞雖然已被修復(fù)了，但沒(méi)p±錄和|開(kāi)ā另N方面是對(duì)N?開(kāi)源軟t安全性的s注度O夠，對(duì)它們漏洞挖掘的研究?O多2?3ā關(guān)鍵基礎(chǔ)開(kāi)源軟件的整體?維風(fēng)險(xiǎn)?處于較高水D<x本更新時(shí)間=和<周e交頻率=n個(gè)維度來(lái)V析，依然p超

4r的s鍵基礎(chǔ)開(kāi)源軟t活躍度很P2w中，半?內(nèi)沒(méi)p發(fā)布過(guò)新x本的s鍵基礎(chǔ)開(kāi)源軟tp

520款，占比~

41.5%，P去?數(shù)據(jù)相`āN?內(nèi)周均e交次數(shù)小于

5

和小于

1

的s鍵基礎(chǔ)開(kāi)源軟t數(shù)量V別~

817和

510，占比V別~

65.2%140.7%，n項(xiàng)指標(biāo)明顯高于去?的

47.1%和

31.3%，說(shuō)明s鍵基礎(chǔ)開(kāi)源軟te交的?極性p所降P2在

TOP50的s鍵基礎(chǔ)開(kāi)源軟t中，只p

23款軟t明確已獲得大廠或者基金b的支持，比去??減少了N款，依然p

9

款軟t的20Github

貢獻(xiàn)者數(shù)量小于

100，NPM

生態(tài)中的

fs-extra

?是由

JPRichardson個(gè)人來(lái)維?的2整體來(lái)看，s鍵基礎(chǔ)開(kāi)源軟t的?維安全狀況未見(jiàn)改善，?處于較高水2四、國(guó)內(nèi)企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用狀況2022?，奇安信代碼安全實(shí)驗(yàn)室對(duì)

2631個(gè)?內(nèi)企業(yè)軟t項(xiàng)目中使用開(kāi)源軟t的情況?ì了V析，à?軟t項(xiàng)目的à用領(lǐng)域?及中小企業(yè)1金融1|共服á管理1通信1交通和能源等

6個(gè)ì業(yè)21、開(kāi)源軟件總體使用情況分析?1ā均每個(gè)軟件項(xiàng)目使用

155個(gè)開(kāi)源軟件在被V析的

2631個(gè)?內(nèi)企業(yè)軟t項(xiàng)目中，全部使用了開(kāi)源軟t，使用率~

100%2最多的項(xiàng)目使用了

5695個(gè)開(kāi)源軟t，均每個(gè)項(xiàng)目使用

155

個(gè)開(kāi)源軟t，較前n?的

127

個(gè)和

126

個(gè)p較大幅度的增à2使用開(kāi)源軟t最多的

10個(gè)項(xiàng)目情況如Q表所示2項(xiàng)目]稱使用的開(kāi)源軟件數(shù)量項(xiàng)目

1項(xiàng)目

2項(xiàng)目

3項(xiàng)目

4項(xiàng)目

5項(xiàng)目

6項(xiàng)目

7569548444646432837923630336721項(xiàng)目

8項(xiàng)目

9項(xiàng)目

10265724522330?2ā流行開(kāi)源軟件被超

4成的軟件項(xiàng)目使用在V析的

2631

個(gè)?內(nèi)企業(yè)軟t項(xiàng)目中，使用最多的開(kāi)源軟t~Apache

Commons

Lang，被

1146個(gè)項(xiàng)目所使用，占比高達(dá)

43.6%，à高于去?的

36.2%和前?的

24.3%2被使用最多的前

10]開(kāi)源軟t如Q表所示2開(kāi)源軟件]稱ApacheCommonsLang使用的項(xiàng)目數(shù)被使用率1146113510351026101799643.6%43.1%39.3%39.0%38.7%37.9%SimpleLoggingFacadeforJava(SLF4J)CommonsIOlog4jApacheCommonsCodecJacksonJSONprocessorApache

HttpComponents

Client(aka

ApacheHttpClient)98837.6%SpringFramework98697697337.5%37.1%37.0%jackson-databindApacheCommonsCollections2、開(kāi)源軟件漏洞風(fēng)險(xiǎn)分析?1āà

8成軟件項(xiàng)目存在容易利用的開(kāi)源軟件漏洞V析發(fā)現(xiàn)，在

2631

個(gè)?內(nèi)企業(yè)軟t項(xiàng)目中，`在已知開(kāi)源軟t漏洞的項(xiàng)目p

2411

個(gè)，占比高達(dá)

91.6%ā`在已知高t開(kāi)源軟t漏22洞的項(xiàng)目p

2268

個(gè)，占比~

86.2%ā`在已知超t開(kāi)源軟t漏洞的項(xiàng)目p

2032個(gè)，占比~

77.2%2àO個(gè)比例均比去?p所e高2綜合漏洞的

POC/EXP情況以及

CVSS?利用性指標(biāo)等因素，s們將漏洞的利用難度V~容易1N般1困難，容易利用的漏洞風(fēng)險(xiǎn)極高2在V析的

2631個(gè)項(xiàng)目中，`在容易利用的漏洞的項(xiàng)目p

2089個(gè)

，占比~

79.4%，高于去?的

77.0%2?2ā均每個(gè)軟件項(xiàng)目存在

110個(gè)已知開(kāi)源軟件漏洞在

2631個(gè)?內(nèi)企業(yè)軟t項(xiàng)目中，共檢?

289066個(gè)已知開(kāi)源軟t漏洞??及到

8289

個(gè)唯N

CVE

漏洞編號(hào)ā，均每個(gè)軟t項(xiàng)目`在110個(gè)已知開(kāi)源軟t漏洞，à高于前n?的

69和

66個(gè)2最多的軟t項(xiàng)目`在

1566

個(gè)已知開(kāi)源軟t漏洞2`在已知開(kāi)源軟t漏洞數(shù)量排]前

10的項(xiàng)目情況如Q表所示2項(xiàng)目存在開(kāi)源軟件漏洞數(shù)量項(xiàng)目

1項(xiàng)目

2項(xiàng)目

3項(xiàng)目

4項(xiàng)目

5項(xiàng)目

6項(xiàng)目

7項(xiàng)目

8項(xiàng)目

9項(xiàng)目

10156615061459141114071395138812341169107323?3ā影響最廣的開(kāi)源軟件漏洞存在于超

4成的軟件項(xiàng)目中D漏洞的?響度來(lái)V析，?響范圍最大的開(kāi)源軟t漏洞~

CVE-2022-42003和

CVE-2022-42004，`在于

41.9%的軟t項(xiàng)目中，比去?最高的

31.7%高?t

10%，足以說(shuō)明它們?響廣泛22022??響度排]前

10的開(kāi)源軟t漏洞如Q表所示2影響項(xiàng)目漏洞]稱CVE

編號(hào)影響度41.9%41.9%數(shù)量FasterXML

jackson-databind代碼問(wèn)題漏洞CVE-2022-42003CVE-2022-420041103FasterXML

jackson-databind代碼問(wèn)題漏洞1102SpringFramework安全漏洞SpringFramework安全漏洞CVE-2023-20861CVE-2023-208631078107741.0%40.9%Apache

Commons

FileUpload安全漏洞CVE-2023-24998CVE-2022-22965CVE-2022-22970CVE-2016-1000027CVE-2023-35116CVE-2022-229681012100699438.5%38.2%37.8%37.2%37.1%36.9%Spring

Framework

à程代碼執(zhí)ì漏洞Spring

Framework

輸入驗(yàn)證錯(cuò)誤漏洞Vmware

Spring

Framework

代碼問(wèn)題漏洞979FasterXML

jackson-databind代碼問(wèn)題漏洞976Vmware

Spring

Framework

安全特征問(wèn)題漏洞970容易利用的漏洞更易被用來(lái)發(fā)起攻ü，風(fēng)險(xiǎn)極高2?響度排]前10的容易利用的開(kāi)源軟t漏洞情況如Q表所示2影響項(xiàng)目數(shù)量容易利用的漏洞]稱CVE

編號(hào)影響度Spring

Framework

à程代碼執(zhí)ì漏洞CVE-2022-22965

100638.2%Vmware

Spring

Framework

代碼問(wèn)題漏洞CVE-2016-100002797989637.2%34.1%VmwareSpringFramework安全漏洞

CVE-2021-2206024VmwareSpringFramework安全漏洞

CVE-2021-2209688686980680677874733.7%33.0%30.6%30.6%29.6%28.4%ApacheHttpClient安全漏洞jQuery跨站腳本漏洞jQuery跨站腳本漏洞jQuery跨站腳本漏洞Fastjson代碼問(wèn)題漏洞CVE-2020-13956CVE-2020-11022CVE-2020-11023CVE-2019-11358CVE-2022-25845FasterXML

jackson-databind

代碼問(wèn)題漏洞CVE-2020-884073728.0%?4ā20多?前的開(kāi)源軟件漏洞?然存在于多個(gè)軟件項(xiàng)目中V析發(fā)現(xiàn)，P前n??告結(jié)果N?，部V軟t項(xiàng)目中?然`在很久之前|開(kāi)的?老開(kāi)源軟t漏洞，w中，最?老的漏洞是

2002

?

3o

15

?|開(kāi)的

CVE-2002-0059，距今已

21

?，?然`在于

11

個(gè)項(xiàng)目中2部V?老開(kāi)源軟t漏洞的?響情況如Q表所示2影響項(xiàng)目數(shù)量漏洞]稱zlib安全漏洞CVE

編號(hào)發(fā)布日期CVE-2002-0059

2002-03-15CVE-2002-0660

2002-06-1911LibPNG

超闊y邊空ā象處理內(nèi)`破壞漏洞141Portable

Network

Graphics任意腳本à程執(zhí)ì漏洞Linux

Kernel混g模式狀態(tài)漏洞CVE-2002-1363

2002-12-26CVE-2002-1976

2002-12-31zlib安全漏洞CVE-2003-0107

2003-02-23CVE-2004-0230

2004-08-18171TCP`ˉ安全漏洞LibPNG

O合法

PNG

?界à問(wèn)拒?服á漏洞CVE-2004-0421

2004-08-1814Microsoft

MSN

Messenger

PNGā

w

解

析

à

程

代

碼

執(zhí)

ì

漏

洞

CVE-2004-0597

2004-11-23(MS05-009)libpng

png_handle_iCCP

NULLCVE-2004-0598

2004-11-23指針à程拒?服á漏洞44libpng漏洞ì讀×à程整數(shù)溢?CVE-2004-0599

2004-11-23253、開(kāi)源軟件許可協(xié)議風(fēng)險(xiǎn)分析?1ā最流行的開(kāi)源許可協(xié)議在超半數(shù)的項(xiàng)目中使用在

2631個(gè)被V析的?內(nèi)企業(yè)軟t項(xiàng)目中，共發(fā)現(xiàn)

537個(gè)開(kāi)源許?`ˉ2?及項(xiàng)目數(shù)最多的`ˉ依然是

Apache

License

2.0，在

1349個(gè)項(xiàng)目中使用，占比~

51.3%，雖然超過(guò)半數(shù)，但P于去?的

77.1%2?及軟t項(xiàng)目數(shù)排]前

10的許?`ˉ如Q表所示2開(kāi)源許可協(xié)議ApacheLicense2.0涉及項(xiàng)目數(shù)所占比例1349105032815714712312211351.3%39.9%12.5%6.0%5.6%4.7%4.6%4.3%MITLicenseBSD3-Clause"New"or"Revised"LicenseGNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev1.0orlaterGNUGeneralPublicLicensev2.0orlaterPublicDomainBSD2-Clause"Simplified"LicenseGNU

Lesser

General

Public

License

v2.1

orlater91863.5%3.3%GNUGeneralPublicLicensev3.0only?2ā1/6的項(xiàng)目使用了含p超、高危許可協(xié)議的開(kāi)源軟件p?類型的開(kāi)源許?`ˉ中包含了N?限制性條款，在使用過(guò)程中N?áàà?條款，?能對(duì)企業(yè)的商業(yè)利益和聲譽(yù)

roT的損害2à?限制性條款包括如?<禁k本軟t及wí生品用于商業(yè)目的=1<禁k在未支付費(fèi)用和x稅的情況Q將該軟t用于非|開(kāi)1非商業(yè)用途=1<軟t發(fā)布時(shí)必須|開(kāi)軟t的源代碼=等226奇安信代碼安全實(shí)驗(yàn)室將限制性較~苛刻的N類`ˉ定O~超t許?`ˉ，將限制性較大而未達(dá)到超t水的N類`ˉ定O~高t許?`ˉ2在

2631

個(gè)被V析的?內(nèi)企業(yè)軟t項(xiàng)目中，`在超t許?`ˉ的項(xiàng)目

142個(gè)，占比

5.4%ā`在高t許?`ˉ的項(xiàng)目

301個(gè)，占比

11.4%2含超t和高t許?`ˉ的項(xiàng)目合計(jì)占比

16.8%，t

1/62?及軟t項(xiàng)目數(shù)排]前

10的超t許?`ˉ如Q表所示2超危開(kāi)源許可協(xié)議涉及項(xiàng)目數(shù)GNUGeneralPublicLicensev3.0only8682574643187GNUGeneralPublicLicensev3.0orlaterGNUAfferoGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0onlyGNULesserGeneralPublicLicensev3.0orlaterGNUFreeDocumentationLicensev1.2GNUFreeDocumentationLicensev1.2onlyGNUGeneralPublicLicensev3.0orlaterGNUGeneralPublicLicensev3.0only72Creative

Commons

Attribution

Non

Commercial

Share

Alike2.5Generic1?及軟t項(xiàng)目數(shù)排]前

10的高t許?`ˉ如Q表所示2高危開(kāi)源許可協(xié)議涉及項(xiàng)目數(shù)GNUGeneralPublicLicensev2.0onlyGNUGeneralPublicLicensev2.0orlaterGNULesserGeneralPublicLicensev2.1orlaterGNULibraryGeneralPublicLicensev2orlaterGNULesserGeneralPublicLicensev2.1onlyMozillaPublicLicense1.115712391787248EclipsePublicLicense1.04527CreativeCommonsAttributionShareAlike3.0UnportedGNULibraryGeneralPublicLicensev2onlyGNULesserGeneralPublicLicensev2.1only4131304、開(kāi)源軟件?維風(fēng)險(xiǎn)分析開(kāi)源軟t?維風(fēng)險(xiǎn)復(fù)g多，?告要D老?開(kāi)源軟t的使用和開(kāi)源軟t多x本的使用角度?ìV析2?1āà

30?前的老舊開(kāi)源軟件版本?在被使用V析發(fā)現(xiàn)，P前n??告數(shù)據(jù)N?，許多軟t項(xiàng)目中?然在使用老?的開(kāi)源軟tx本，p的甚ó是à

30

?前發(fā)布的x本，`在很大的?維風(fēng)險(xiǎn)2被使用的老?開(kāi)源軟tx本中，最é的N款是

1995

?8o

2?發(fā)布的

IJG

JPEG

6，已經(jīng)p

28?之久，但?然被軟t項(xiàng)目所使用2按老?程度排]前

10的開(kāi)源軟t如Q表所示2開(kāi)源軟件]稱IJGJPEG版本號(hào)

版本發(fā)布日期

使用它的項(xiàng)目數(shù)量61995-08-021996-02-071996-12-112001-02-051131IJGJPEGglut6a3.1-31.1.3zlib343libpnglibpngSaxpath1.0.12

2001-06-091.2.1

2001-12-1581.0-FCS

2002-05-141.0-FCS

2002-05-141jaxen-core

from

jdom

1.1distribution1libpng1.2.32002-05-2445ApacheXalan2.5.D1

2003-03-0328?2ā開(kāi)源軟件各版本使用依然混亂V析發(fā)現(xiàn)，各個(gè)項(xiàng)目中開(kāi)源軟t使用的x本依然非?；靵y，并非使用的都是最新x本2Spring

Framework

是被使用x本最多的開(kāi)源軟t，p

181個(gè)x本在被使用，比去?的

235P，但高于前?的

162，說(shuō)明開(kāi)源軟tx本使用混亂的狀況依然oT2按照被使用x本的數(shù)量排序，排]前

10的開(kāi)源軟t情況如Q表所示2開(kāi)源軟件]稱SpringFramework被使用的版本數(shù)量181132130126118117112109109105@types/nodeApacheTomcatSpringBootNettyProjectHibernateORMjackson-databindSpringTestContextFrameworkJacksonJSONprocessorJetty5、O\行業(yè)軟件項(xiàng)目開(kāi)源使用風(fēng)險(xiǎn)分析所p

2631

個(gè)被V析的?內(nèi)企業(yè)軟t項(xiàng)目，按照à用領(lǐng)域1?能屬性，?劃_}個(gè)ì業(yè)，即中小企業(yè)類1金融類1|共服á管理類1通信類1交通類和能源類軟t項(xiàng)目2?1ā各行業(yè)軟件項(xiàng)目分布情況在

2631個(gè)?內(nèi)企業(yè)自開(kāi)發(fā)的軟t項(xiàng)目中，數(shù)量排]前

3的依29次~中小型企業(yè)開(kāi)發(fā)的軟t1金融類項(xiàng)目和|共服á管理類項(xiàng)目，項(xiàng)目數(shù)V別~

1253個(gè)11002個(gè)和

229個(gè)，它們合計(jì)占比接à

95%2被V析軟t項(xiàng)目按ì業(yè)的V布情況如Qā所示2軟件項(xiàng)目按行業(yè)分布情況交通類,49,通信類,74,1.9%2.8%能源類,24,0.9%公共服務(wù)管理類,229,8.7%金融類,1002,中小企業(yè)類,1253,

47.6%38.1%?2ā各行業(yè)軟件項(xiàng)目使用開(kāi)源軟件情況各ì業(yè)軟t項(xiàng)目使用開(kāi)源軟t的均數(shù)量如Qā所示2P總體均數(shù)

155個(gè)相比，中小企業(yè)類1通信類項(xiàng)目的開(kāi)源軟t使用均數(shù)P之相`ā|共服á管理類1交通類1能源類項(xiàng)目使用開(kāi)源軟t較少，均數(shù)在

80-89個(gè)之間ā金融類項(xiàng)目使用開(kāi)源軟t均數(shù)量最大，`à高于w他類別和總體水，達(dá)到

186個(gè)230各行業(yè)軟件項(xiàng)目使用開(kāi)源軟件均數(shù)量?個(gè)ā186200150100501551481418984800?3ā各行業(yè)軟件項(xiàng)目含已知開(kāi)源軟件漏洞情況各ì業(yè)軟t項(xiàng)目含已知開(kāi)源軟t漏洞的均數(shù)量如Qā所示2?以看?，通信類1金融類1能源類軟t項(xiàng)目的已知開(kāi)源軟t漏洞均數(shù)高于總體，前n者已高于

120個(gè)āw他ì業(yè)的軟t項(xiàng)目雖然均漏洞數(shù)較P，但也明顯高于去?和前?的總體均水?69個(gè)和

66個(gè)ā2各行業(yè)軟件項(xiàng)目含已知開(kāi)源軟件漏洞均數(shù)量?個(gè)ā140122123116120100806040200110102979031五、典型軟件供應(yīng)鏈安全風(fēng)險(xiǎn)實(shí)例分析1、某主流企業(yè)級(jí)無(wú)線路由器供應(yīng)鏈攻ü實(shí)例分析某?×知]廠商生產(chǎn)的企業(yè)?千兆無(wú)線路由器，廣泛à用于各類企業(yè)中，對(duì)該路由器的固t?ìV析發(fā)現(xiàn)，固t使用了開(kāi)源工xMiniUPnPd1.92MiniUPnPd是N款?用于嵌入式系統(tǒng)的通用即插即用開(kāi)源工x，它是物聯(lián)網(wǎng)?心`ˉ

UPnP的N個(gè)實(shí)現(xiàn)2UPnP`ˉ允許各種網(wǎng)t?備在沒(méi)p特殊?置或配置的情況Q?ì通信，使得?備彼m間?自úa接和`\工作2例如，新打s機(jī)通電并接入網(wǎng)t^，局域網(wǎng)中的計(jì)算機(jī)自ú獲×打s機(jī)的型號(hào)等信息，方便?ì驅(qū)ú安裝2CVE-2020-12695是

UPnP`ˉ的N個(gè)高t歷史漏洞，又被ā作CallStranger漏洞，攻ü者?利用它繞過(guò)內(nèi)網(wǎng)的數(shù)據(jù)防泄漏?DLPā系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)?逸，D而導(dǎo)?敏感數(shù)據(jù)泄露ā??以對(duì)?備所在內(nèi)網(wǎng)?ì掃?，甚ó?能劫持?備?ìV布式拒?服á?DDoSā攻ü2該漏洞?響產(chǎn)品的范圍非常廣泛2Qā展示了在本例的路由器P利用

CVE-2020-12695

的效果，?以掃?路由器所在內(nèi)網(wǎng)中某機(jī)器的

222端ó是否開(kāi)啟，若未收到a接請(qǐng)求，則確定端ó開(kāi)啟，?而~^續(xù)網(wǎng)t攻üe供基礎(chǔ)232本實(shí)例中，軟t供à鏈風(fēng)險(xiǎn)傳播鏈條如Q?某流無(wú)線路由器的固t使用開(kāi)源工x

MiniUPnPd來(lái)實(shí)現(xiàn)

UPnP服á，`

UPnP服á?能開(kāi)啟時(shí)，UPnP`ˉ漏洞b?響該路由器，對(duì)路由器所在內(nèi)網(wǎng)?ì掃?，由m引發(fā)軟t供à鏈攻ü22、ZCS協(xié)\辦}系統(tǒng)供應(yīng)鏈攻ü實(shí)例分析Zimbra

Collaboration

Suite?ZCSā是N款開(kāi)源`\T|套t，包括郵t服á1?歷1通信錄等?能2ZCS郵t服á器目前à用于全球

140個(gè)?家的

20多萬(wàn)個(gè)組?中，包括

1000多個(gè)?府和金融機(jī)構(gòu)2ZCS

的防病毒引?

Amavis

對(duì)電子郵t中的?te×?xí)r使用了開(kāi)源組t

cpio?N款

GNU/Linux

實(shí)用程序，è在e×各種`檔格式，包括.cpio1.tar和.rpm等

ā2CVE-2022-41352