《2024中国软件供应链安全分析报告-2024.08-56正式版.docx》由会员分享,可在线阅读,更多相关《2024中国软件供应链安全分析报告-2024.08-56正式版.docx(41页珍藏版)》请在优知文库上搜索。
1、2024中国软件供应链安全分析报告THEREPORT奇安信代码安全实验室目录一、概述11、软件供应链安全攻击手段依然花样百出12、国内企业软件供应链安全状况有所改善4二、国内企业自主开发源代码安全状况61、编程语言分布情况62、典型安全缺陷检出情况7三、开源软件生态发展与安全状况81、开源软件生态发展状况分析92、开源软件源代码安全状况分析11(1)编程语言分布情况11(2)典型安全缺陷检出情况123、开源软件公开报告漏洞状况分析13(1)大型开源项目漏洞总数及年度增长TOP2013(2)主流开源软件包生态系统漏洞总数及年度增长TOP20.164、开源软件活跃度状况分析19(1)68.7%的开
2、源软件项目处于不活跃状态,比例下降19B奇安信代码安全实验室QI-ANXINCOOtSAFETEAM(2)版本频繁更新的项目较去年增长21.6%205、关键基珊开源软件分析21(1)主流开源生态关键基础开源软件TOP5021(2)关键基础开源软件的漏洞披露情况未见改善24(3)关键基础开源软件的整体运维风险有所改观256、NPM生态中恶意开源软件分析26(1)超95%的恶意开源组件以窃取敏感信息为目标26(2)典型恶意开源组件及恶意行为剖析27四、国内企业软件开发中开源软件应用状况291、开源软件总体使用情况分析30(1)平均每个软件项目使用166个开源软件,再创新高30(2)最流行的开源软件
3、被37.2%的软件项目使用312、开源软件漏洞风险分析32(1)存在容易利用的开源软件漏洞的项目占比大幅下降.32(2)平均每个项目包含的已知开源软件漏洞数明显回落.33(3)影响最广的开源软件漏洞的影响范围有所减小35(4)20多年前的开源软件漏洞仍然存在于多个软件项目中.363、开源软件许可协议风险分析37(1)最流行的开源许可协议在46.9%的项目中使用37和谷歌自身等。2024年3月初,安全研究人员发现,机器人平台Top.ggDiscord托管在GitHub上的源代码遭受到大规模严重供应链投毒攻击,该平台拥有超17万成员。分析发现,攻击者劫持了Top.gg的GitHub账户,上传了至少
4、14个伪造的恶意Python流行软件包,并通过这些恶意软件窃取用户Chrome,Edge等浏览器中的敏感数据,包括浏览历史记录、信用卡详细信息等,并通过出售信息实现盈利。攻击者还试图窃取Te1.egram会话数据以侵犯用户隐私。这些攻击同时也影响到了大量与平台相关的开发人员。2024年3月底,某开发人员在调查SSH性能问题时发现了涉及XZUtiIS工具库的供应链攻击,溯源发现SSH使用的上游Iib1.zma库被植入了恶意后门漏洞(CVE-2024-3094),满足一定条件时会解密流量里的C2命令并执行,从而使攻击者能够破坏SSHD身份验证并远程获得对整个系统的未经授权访问。XZ是一种由TUka
5、ani项目开发的高压缩比数据压缩格式,几乎应用于每个1.inUX发行版中,包括社区项目和商业产品发行版,Iib1.zma是一个用于处理XZ压缩格式的开源软件库。庆幸的是,该漏洞主要影响的XZ5.6.0和5.6.1版本尚未被1.inUX发行版广泛集成,而且大部分是在预发行版本中。2024年5月,攻击者通过与英国国防部核心网络链接的一个外部系统,即由英国国防部的一家提供薪资处理服务的外部承包商维护的薪资处理系统,访问了部分军队支付网络,造成严重的信息泄露。据统计,攻击者访问了超过22.5万名英国陆军、海军和皇家空军现奇安值代码安全实验室Qianxincooesafeteam役军人、退役军人和预备役
6、军人的姓名、银行账号详情等个人信息。第三方承包商未能充分的保护系统是这次事件的主要诱因,而这一事件是在不到一年的时间内发生的第二起因外部承包商而导致的英国军队数据遭泄露事件。OpenSSH可以在CS架构中提供网络安全信道,被众多企业用于远程服务器管理和数据安全通信。2024年7月初,网络安全公司Qua1.ys发现,OPenSSH服务器进程存在“regreSSHion”漏洞(CVE-2024-6387),攻击者可利用其以root权限在基于g1.ibc的1.inux系统上实现未认证的远程代码执行,从而实施系统完全接管、恶意程序安装和后门创建等攻击行为,严重程度堪比1.og4She1.1.0具不完全
7、统计,互联网上有1400多万台易受攻击的OPenSSH实例,仅QUa1.yS公司自身的客户中就有约70万个暴露在互联网上的系统可能易受攻击。2、国内企业软件供应链安全状况有所改善奇安信代码安全实验室通过数据分析发现,与以往历年相比,2023年,国内企业自主开发软件的源代码高危缺陷密度明显下降,并且因使用开源软件而引入安全风险的状况有所改善。尽管如此,软件供应链安全风险的管控依然值得持续关注,需要更多的投入。1)国内企业自主开发软件的源代码高危缺陷密度明显下降通过对2023年国内企业自主开发源代码的分析发现,虽然整体缺陷密度达到12.76个/千行,高于以往各年,但高危缺陷的密度为0.52个/千行
8、,比之前三年有明显的下降;此外,NU1.1.引用类缺陷的检出率为25.7%,较往年也有较大降低。上述趋势的出现,应该在很大程度上得益于以下措施的采取:软件开发过程中,研发企业对重点缺陷逐渐重视,针对重点问题的安全编码规范进一步普及,并且代码审计工具的使用持续推广。2)国内企业因使用开源软件而引入安全风险的状况有所改善2023年,奇安信代码安全实蛉室对1763个国内企业软件项目中使用开源软件的情况进行分析发现,平均每个项目使用了166个开源软件,数量再创新高。但另一方面,平均每个项目存在83个已知开源软件漏洞,含有容易利用的开源软件漏洞的项目占比为68.1%,以上两项指标与去年相比降幅较大;此外
9、,存在已知开源软件漏洞、高危漏洞、超危漏洞的项目占比分别为88.0%、81.0%和71.9%,与去年相比均有所下降。其他方面,如项目中存在古老开源软件漏洞、老旧开源软件版本使用、同一开源软件各版本使用混乱等方面的状况基本与之前历年持平。总体而曾,国内企业使用开源软件的安全状况有所好转。虽然从趋势来看,上述的软件供应链安全问题有一定程度的缓解,但另一方面,这些指标数据仍处于高位,软件供应链的安全问题并没有得到根本性的改变。值得高兴的是,越来越多的机构和企业开始关注并实施软件供应链的安全,一些机构和企业基于规范的流程和实践,落地了相应的解决方案和检测平台。但就目前的形势而言.这些经验、方法和工具还
10、需要进一步的持续完善、推广和应用。奇安信代码安全实验室QIANXINCODCSAFeTtAM二、国内企业自主开发源代码安全状况源代码的安全是软件供应链安全的基础。2023年全年,奇安信代码安全实验室对1858个国内企业自主开发的软件项目的源代码进行了安全缺陷检测,检测的代码总量为408909802行,共发现安全缺陷5216473个,其中高危缺陷211355个,整体缺陷密度为12.76个/千行,高危缺陷密度为0.52个/千行。与以往历年相比,整体缺陷密度升高较快,但高危缺陷密度有较大幅度的降低。这应该与开发者对高危缺陷类型的重点防范及相应安全编码规范的使用有关。1、编程语言分布情况在1858个国
11、内企业自主开发的软件项目中,共使用了17种编程语售,使用项目数排名前3的分别为Java、C心+和Python,对应的软件项目数量分别为1258个、246个和118个,PythOn取代NodeJS奇安值代码安全实验室OIANXINCODESAFETfAM再次回到第三的位置。JaVa语售项目占比达67.7%,但低于去年的76.1%0国内企业在进行软件开发时,Java语言仍然最受欢迎。编程语售的分布情况如下图所示。2、典型安全缺陷检出情况对1858个软件项目的源代码缺陷检测结果进行分析和统计发现,注入、密码管理、日志伪造、跨站脚本、NU1.1.引用、配置管理、输入验证、资源管理、路径遍历、AP1.误
12、用等十类典型安全缺陷的总体检出率(即含有某类缺陷的软件项目数占项目总数的比例)为71.1%,与去年的74.1%基本持平。每类典型缺陷历年的检出率及对比情况如下图所示。自主开发软件典型缺陷历年检出率对比2023年49.036.O35.7%32.1%31.3%30.8%28.8%25.7%17.$%16.7%2022年50.5%44.2%40.1%40.0%30.3%43.3%30.1%43.1%24.8%17.6%202HP41.%35.1%26.3%28.4%22.8%29.9%31.5%302%18.212.5%2020年50.39.5%37.3%39.631.0%31.6%28.7%3I2
13、8.OI82可以看出,输入蛉证类和跨站脚本类缺陷的检出率较高,依然排在前两位,特别是输入验证类缺陷,检出率依旧高达49%;同时,配置管理类和日志伪造类缺陷的检出率依然排在最后两位;与过去历年相比,NU1.1.引用类缺陷的检出率有较大下降,这可能与研发人员对此类问题的特别关注有关;其他类型缺陷的检出率在正常的波动范围内。国内企业在自主开发软件时,应继续关注针对这些缺陷类型的代码修复问题。三、开源软件生态发展与安全状况开源软件在现代软件开发中持续发挥着基础支持的作用。本期报告除了延续开源软件生态发展状况、开源软件源代码安全状况、开源软件公开报告漏洞状况、开源软件活跃度状况、关键基础开源软件分析五部
14、分内容外,在对2023年开源软件生态发展与安全状况进行综合分析时,还增加了针对NPM生态中恶意开源软件的分析。1、开源软件生态发展状况分析根据奇安信代码安全实蛉室的监测和统计,2022年底和2023年底,主流开源软件包生态系统中开源项目总量分别为5499977和7959049,一年间增长了44.7%,增速迅猛;截至2023年底,主流开源软件包生态系统中平均每个开源项目有11.3个版本,与前几年基本持平。2023年开源软件生态持续繁荣。对Maven、NPM、Packagist.Pypi、Godoc、NugetxRubygems.SWift等八个典型开源软件包生态系统的具体分析如下:NPM包生态开
15、源项目数量和增速均位列第一。与前三年相比,NPM超越GodoC,成为开源项目数增速最快的包生态系统。八个典型的开源软件包生态系统中开源项目数量和增长率情况如下图所示,其中开源项目数量最多的是NPM包生态系统,截至2023年底,其开源项目数量达到了4170641,依然远高于其他生态;开源项目数量增速最快的也是NPM,2023年一年间的项目总量增速高达79.1%,GOdoC的项目数增长也很快,达58.1%。典型开源软件包生态系统中项目数量变化情况450000040000003500000300000025000002000000150000010000005000UNPMPackagistPypiGodocNugctRUbygemSSWiR,2022年数*6560902328687382623438973$11387576800173691901362023年数It7272284170641421935536523$09061640966
免费区 