2021 中国软件供应链安全 分析报告 b u m o c . 5 h t i g 奇安信代码安全实验室 2021 年 6 月 目 录 一、前言 ....................................................................................................1 二、国内企业自主开发源代码安全状况 ................................................3 1、编程语言分布情况 .............................................................................................. 3 m o c . 5 2、典型安全缺陷检出情况 ...................................................................................... 4 三、开源软件生态发展与安全状况 ........................................................5 1、开源软件生态发展状况分析 .............................................................................. 5 2、开源软件源代码安全状况分析 .......................................................................... 7 b u （1）编程语言分布情况 ...................................................................................... 7 （2）典型安全缺陷检出情况 .............................................................................. 8 h t i g 3、开源软件公开报告漏洞状况分析 ...................................................................... 9 （1）大型开源项目漏洞总数及年度增长 TOP20 ............................................... 9 （2）主流开源软件包生态系统漏洞总数及年度增长 TOP20 ......................... 11 4、开源软件活跃度状况分析 ................................................................................ 13 （1）61.6%的开源软件项目处于不活跃状态 .................................................. 13 （2）13000 多个开源软件一年内更新发布超过 100 个版本 ......................... 14 四、国内企业软件开发中开源软件应用状况 ......................................15 1、开源软件总体使用情况分析 ............................................................................ 15 （1）国内企业软件项目 100%使用开源软件 ................................................... 15 （2）流行开源软件被近 1/4 的软件项目使用 ................................................ 16 2、开源软件漏洞风险分析 .................................................................................... 17 （1）近 9 成软件项目存在已知开源软件漏洞 ................................................ 17 （2）平均每个软件项目存在 66 个已知开源软件漏洞 .................................. 17 （3）影响最广的开源软件漏洞存在于 44.3%的软件项目中 ......................... 17 （4）15 年前的开源软件漏洞仍然存在于多个软件项目中 ........................... 18 3、开源软件运维风险分析 .................................................................................... 18 （1）18 年前的老旧开源软件版本仍在被使用 ............................................... 18 （2）开源软件各版本使用非常混乱 ................................................................ 19 五、典型软件供应链安全风险实例分析 ..............................................20 1、国内某主流 OA 系统供应链安全分析 .............................................................. 20 2、国内某流行 Windows 桌面软件供应链安全分析 ............................................ 21 3、某国产网络设备固件供应链安全分析 ............................................................ 22 4、Google Chrome 浏览器供应链攻击实例分析 ................................................. 23 5、VMware Workstation 供应链攻击实例分析 ................................................... 24 m o c . 5 六、总结及建议 ......................................................................................26 附录：奇安信代码安全实验室简介 ......................................................29 h t i g b u 一、前言 数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已 经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正 在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的 m o c . 5 软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护 难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速 增长态势，造成的危害也越来越严重。 2020 年 4 月，Rubygems 开源软件包生态系统被放入了数百个恶 b u 意软件包，这些恶意软件包的下载总量近 10 万次。例如，“atlas- h t i g client”是一个诱骗的诱饵程序包，用来仿冒“atlas_client” ，被下 载了超过 2100 次。 2020 年 5 月，GitHub 披露了针对 Apache NetBeans IDE 项目的 开源软件供应链攻击 Octopus Scanner，最终统计显示，有 26 个开 源项目被植入了 Octopus Scanner 后门。 2020 年 12 月，全球著名的网络安全管理软件供应商 SolarWinds 遭遇国家级 APT 团伙高度复杂的供应链攻击。该攻击直接导致包括美 国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影 响，可任由攻击者完全操控。 2021 年 2 月，安全研究人员通过利用开源生态安全机制上的漏 洞，成功侵入了微软、苹果、PayPal、特斯拉、优步等 35 家国际大 1 型科技公司的内网，这种新颖的软件供应链攻击方式被定义为依赖混 淆攻击。 2021 年 3 月，PHP 的 Git 服务器被攻击，攻击者向 git.php.net 服务器上的 php-src 存储库推送了两次恶意提交，在 PHP 代码中植入 了一个后门，其目标是可以通过该后门获得运行 PHP 的网站系统的远 程代码执行权限。 2021 年 4 月，知名代码测试公司 Codecov 宣布其产品的 bash m o c . 5 uploader 脚本被攻击者修改，导致用户在使用 Codecov 产品时，会 向攻击者的服务器发送敏感信息，从而导致攻击者可以获取用户的软 件源代码等机密信息。 b u 攻击不断左移，针对软件供应链的攻击事件频发，系统性的研究 h t i g 软件供应链安全，防范软件供应链安全风险， 已经迫在眉睫。2020 年， 奇安信代码安全实验室依托自身在软件安全领域十余年的技术积累， 针对国内软件供应链的安全状况进行了大量的研究、实践和数据分析 工作，形成本报告。报告内容主要包括国内企业自主开发源代码安全 状况分析、开源软件生态发展与安全状况分析、国内企业软件开发中 开源软件应用状况分析、典型应用系统供应链安全风险实例分析、总 结及建议等五个方面，希望可以为相关单位开展软件供应链安全相关 的研究和实践工作提供借鉴和参考。 2 二、国内企业自主开发源代码安全状况 源代码是软件的原始形态，位于软件供应链的源头。源代码安全 是软件供应链安全的基础，其地位非常关键和重要。2020 年全年，奇 安信代码安全实验室对 2001 个国内企业自主开发的软件项目源代码 进行了安全缺陷检测，检测的代码总量为 335011173 行，共发现安全 m o c . 5 缺陷 3387642 个，其中高危缺陷 361812 个，整体缺陷密度为 10.11 个/千行，高危缺陷密度为 1.08