奇安信：2022中国软件供应链安全分析报告（45页）.pdf

1、 1 2022 中国软件供应链安全 分析报告 奇安信代码安全实验室 2022 年 6 月 I 目 录 一、概述一、概述.11、软件供应链安全攻击事件保持持续高发.12、开源软件安全风险是当前软件供应链安全的焦点问题.3二、国内二、国内企业自主开发源代码安全状况企业自主开发源代码安全状况.51、编程语言分布情况.52、典型安全缺陷检出情况.6三、开源软件生态发展与安全状况三、开源软件生态发展与安全状况.71、开源软件生态发展状况分析.72、开源软件源代码安全状况分析.9（1）编程语言分布情况.9（2）典型安全缺陷检出情况.103、开源软件公开报告漏洞状况分析.10（1）大型开源项目漏洞总数及年度

2、增长 TOP20.10（2）主流开源软件包生态系统漏洞总数及年度增长 TOP20.124、开源软件活跃度状况分析.14（1）7 成开源软件项目处于不活跃状态.14II（2）近 2 万个开源软件一年内更新发布超过 100 个版本.155、关键基础开源软件分析.16（1）主流开源生态关键基础开源软件 TOP50.16（2）2/3 的关键基础开源软件从未公开披露过漏洞.19（3）关键基础开源软件的整体运维风险较高.20四、国内企业软件开发中开源软件应用状况四、国内企业软件开发中开源软件应用状况.201、开源软件总体使用情况分析.21（1）平均每个软件项目使用 127 个开源软件.21（2）流行开源软

3、件被超过 1/3 的软件项目使用.212、开源软件漏洞风险分析.22（1）77%的软件项目存在容易利用的开源软件漏洞.22（2）平均每个软件项目存在 69 个已知开源软件漏洞.23（3）影响最广的开源软件漏洞存在于超 3 成的软件项目中.23（4）16 年前的开源软件漏洞仍然存在于多个软件项目中.253、开源软件许可协议风险分析.25（1）最流行的开源许可协议在超 3/4 的项目中使用.26（2）45.6%的项目使用了含有高风险许可协议的开源软件.264、开源软件运维风险分析.27（1）20 年前的老旧开源软件版本仍在被使用.27III（2）开源软件各版本使用更加混乱.28五、典型软件供应链安

4、全风五、典型软件供应链安全风险实例分析险实例分析.291、某主流网络接入存储(NAS)设备供应链攻击实例分析.292、某主流 VPN 路由器供应链攻击实例分析.313、三款国产操作系统供应链攻击实例分析.334、某国产邮件系统供应链攻击实例分析.355、Edge 浏览器供应链攻击实例分析.36六、总结及建议六、总结及建议.38附录：奇安信代码安全实验室简介附录：奇安信代码安全实验室简介.401 一、概述一、概述 数字化时代，软件的重要性和软件供应链安全问题的严峻性已成为各方共识。为此，奇安信代码安全实验室去年发布了2021 中国软件供应链安全分析报告（https:/ 漏洞”的攻击效果。上述报告

5、内容的变化，感兴趣的读者在阅读时可以重点关注。1 1、软件供应链安全攻击事件保持持续高发、软件供应链安全攻击事件保持持续高发 在过去的一年中，针对软件供应链的安全攻击事件依然呈现出高发态势，造成的危害也非常严重。2 2021 年 8 月，台湾芯片设计厂商 Realtek 称，其 WiFi 模块的三款开发包(SDK)中存在 4 个严重漏洞。攻击者可利用这些漏洞攻陷目标设备并以最高权限执行任意代码。这些 SDK 用于至少 65 家厂商制造的近 200 款物联网设备中。2021 年 10 月，攻击者劫持了 NPM 包 ua-parser-js 作者的账户约 4 小时，意图安装恶意软件。ua-pars

6、er-js 每周下载量超过 700 万次，广泛应用于 Facebook、苹果、亚马逊、微软、IBM 等硅谷巨头企业中。2021 年 11 月，热门 NPM 包 coa 和 rc 连续遭劫持，并被植入恶意代码，影响全球 React 管道。coa 库每周下载量约 900 万，用于GitHub 上近 500 万个开源库中，rc 库每周下载量达 1400 万。2021 年 12 月，Apache Log4j2 曝出 Log4Shell 漏洞(CVE-2021-44228)，Apache Log4j2 是 Java 应用最广泛的开源日志组件，广泛应用于政府、企业和公共服务机构的平台、应用和业务系统中，该