奇安信发布《2023中国软件供应链安全分析报告》开源软件供应链的系统化安全治理需加速落地

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

2023年7月24日，奇安信集团对外发布《2023中国软件供应链安全分析报告》（以下简称《报告》），深入分析了过去一年来国内软件供应链中开源软件应用的安全状况并附以典型案例加以说明，总结了开源软件供应链风险的趋势和变化。

软件供应链安全事件影响广、危害大，仍然是各界的聚焦点。开源软件安全是软件供应链安全的重中之重。本《报告》是该系列年度分析报告的第三期，新增了开源项目维护者对所反馈安全问题的修复和确认情况、不同行业软件项目使用开源软件的风险分析、超危和高危开源许可协议的使用情况、开源软件“老漏洞”发挥“0day漏洞”攻击作用实例分析等部分，值得重点关注。

《报告》显示，2022年开源软件生态依然繁荣。2021年底和2022年底，主流开源软件包生态系统中开源项目总量分别为4395386个和5499977个，一年间增长了25.1%；截至2022 年底，主流开源软件包生态系统中平均每个开源项目有12.6个版本，较前两年报告的11.8个和10.2个呈持续增长的趋势。

开源软件风险管控是软件供应链安全的重中之重

奇安信代码安全实验室通过数据分析发现，与前两年相比，开源软件自身的安全状况持续下滑，国内企业软件开发中因使用开源软件而引入安全风险的状况更加糟糕，开源软件供应链安全风险管控依然任重道远。

过去一年，开源软件漏洞数量持续增长，2022年新增的开源软件漏洞为7682个。根据“奇安信开源项目检测计划”的实测数据显示，三年来开源软件的总体缺陷密度和高危缺陷密度呈现出逐年上升的趋势，均处于较高水平，2022年全年,共对2098个开源软件项目的源代码进行了安全检测，代码总量为173174712行，共发现安全缺陷3646486个，其中高危缺陷222640个，整体缺陷密度为21.06个/千行，高危缺陷密度为1.29个/千行。

2022年，奇安信代码安全实验室对2631个国内企业软件项目中使用开源软件的情况进行分析发现：平均每个项目使用155个开源软件，远高于之前的126和127个。同时，存在已知开源软件漏洞的项目有2411个，占比达91.6%；存在已知高危开源软件漏洞的项目有2268个，占比为86.2%；存在已知超危开源软件漏洞的项目有2032个，占比为 77.2%；存在容易利用的漏洞的项目有2089个，占比为79.4%，这四个比例均比去年有所提高。平均每个项目存在110个已知开源软件漏洞。

十类典型缺陷的总体检出率为72.3%，与去年73.5%相当，远高于前年的56.3%。总体来看，开源软件自身的安全问题愈发严峻。

重视不够、修复不及时，开源运维风险突出

《报告》指出，开源项目维护者对安全问题的重视度和修复积极性较低。2022年，“奇安信开源项目检测计划”共向各被测开源项目的维护者反馈1484个安全问题，仅有547个得到确认并修复，其他937个反馈不修复、未反馈，或无人处理，安全问题的修复率仅为36.9%。另据统计发现，一个安全问题从提交到维护人员反馈确认并修复，时间较长的可长达一年甚至更久。

并且从开源软件活跃度角度看，不活跃的开源软件，一旦出现安全漏洞，难以得到及时的修复。如果将超过一年未更新发布过版本的开源软件项目定义为不活跃项目，数据显示，2022年全年，主流开源软件包生态系统中不活跃的开源软件项目数量3967204个，占比高达72.1%,与去年的69.9%和前年的61.6%相比，呈现出逐年升高的趋势。

对八个典型的开源软件包生态系统进行分析和比较发现，除Nuget外，其他各包生态系统中不活跃项目的占比较去年报告数据均有小幅升高，Nuget则从去年的68.1%大幅下降至54.3%。NPM的不活跃项目数量最多，达1693287个，Rubygems的不活跃项目比例仍为最高，占比高达90.5%。

开源软件“老漏洞”仍发挥着“0day 漏洞”的攻击作用

《报告》分析发现，与前两年结果一致，部分软件项目中仍然存在很久之前公开的古老开源软件漏洞。其中，最古老的漏洞是2002年3月15日公开的 CVE-2002-0059，距今已21年，仍然存在于11个项目中。在开源项目版本管理方面，近30年前的老旧开源软件版本仍然在使用，同一开源软件各版本的使用依然混乱。这些开源软件的“老漏洞”发挥了“0day 漏洞”的攻击作用。

典型案例如Zimbra Collaboration Suite（ZCS）这款开源协同办公套件，目前应用于全球140个国家的20多万个组织中，CVE-2022-41352是影响 ZCS 8.8.15和 9.0的一个超危历史漏洞。分析验证发现，目前依然可以利用该历史漏洞，通过ZCS 8.8.15 patch34和9.0.0 patch27在系统上实现任意文件上传的软件供应链攻击。

再如，CVE-2020-12695是UPnP协议的一个高危历史漏洞，又被称作CallStranger漏洞，攻击者可利用它绕过内网的数据防泄漏（DLP）系统，实现数据逃逸，从而导致敏感数据泄露；还可以对设备所在内网进行扫描，甚至还能劫持设备进行分布式拒绝服务（DDoS）攻击。该漏洞影响产品的范围非常广泛。在某国际知名厂商生产的企业级千兆无线路由器中，该路由器的固件使用开源工具MiniUPnPd来实现 UPnP 服务，当UPnP服务功能开启时，UPnP协议漏洞会影响该路由器，对路由器所在内网进行扫描，由此引发软件供应链攻击。

需加速落地开源软件供应链的系统化安全治理措施

《报告》提到，近年来国外各组织机构推进和出台了一系列针对开源治理的措施和解决方案。然而，国内还未形成统一的规范和流程，缺少统一的开源治理体系架构、指南和公共服务平台支撑，为此提出三方面的建议，一是制定具有普遍共识的开源治理框架和指南；二是建立开源治理平台和漏洞响应机制，方便各方开展开源软件资产风险监测；三是提升针对开源软件供应链的“五防”能力，即防漏洞、防投毒、防侵权、防停服、防断供。

扫一扫下方二维码或点击左下角“阅读原文”，马上下载报告，一睹为快→

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com