1 2022 中国软件供应链安全 分析报告 奇安信代码安全实验室 2022年6月 I 目 录 一、概述 ................................ ................................ ...................... 1 1、软件供应链安全攻击事件保持持续高发 ................................ ...... 1 2、开源软件安全风险是当前软件供应链安全的焦点问题 .............. 3 二、国内 企业自主开发源代码安全状况 ................................ . 5 1、编程语言分布情况 ................................ ................................ ........ 5 2、典型安全缺陷检出情况 ................................ ................................ . 6 三、开源软件生态发展与安全状况 ................................ ......... 7 1、开源软件生态发展状况分析 ................................ ......................... 7 2、开源软件源代码安全状况分析 ................................ ..................... 9 （1）编程语言分布情况 ................................ ................................ .. 9 （2）典型安全缺陷检出情况 ................................ ........................ 10 3、开源软件公开报告漏洞状况分析 ................................ ............... 10 （1）大型开源项目漏洞总数及年度增长 TOP20 .......................... 10 （2）主流开源软件包生态系统漏洞总数及年度增长 TOP20 ...... 12 4、开源软件活跃度状况分析 ................................ ........................... 14 （1）7成开源软件项目处于不活跃状态 ................................ ..... 14 II （2）近2万个开源软件一年内更新发布超过 100个版本 ......... 15 5、关键基础开源软件分析 ................................ ............................... 16 （1）主流开源生态关键基础开源软件 TOP50 .............................. 16 （2）2/3的关键基础开源软件从未公开披露过漏洞 .................. 19 （3）关键基础开源软件的整体运维风险较高 ............................. 20 四、国内企业软件开发中开源软件应用状况 ....................... 20 1、开源软件总体使用情况分析 ................................ ....................... 21 （1）平均每个软件项目使用 127个开源软件 ............................. 21 （2）流行开源软件被超过 1/3的软件项目使用 ......................... 21 2、开源软件漏洞风险分析 ................................ ............................... 22 （1）77%的软件项目存在容易利用的开源软件漏洞 ................... 22 （2）平均每个软件项目存在 69个已知开源软件漏洞 ............... 23 （3）影响最广的开源软件漏洞存在于超 3成的软件项目中 ..... 23 （4）16年前的开源软件漏洞仍然存在于多个软件项目中 ........ 25 3、开源软件许可协议风险分析 ................................ ....................... 25 （1）最流行的开源许可协议在超 3/4的项目中使用 ................. 26 （2）45.6%的项目使用了含有高风险许可协议的开源软件 ....... 26 4、开源软件运维风险分析 ................................ ............................... 27 （1）20年前的老旧开源软件版本仍在被使用 ............................ 27 III （2）开源软件各版本使用更加混乱 ................................ ............ 28 五、典型软件供应链安全风 险实例分析 ............................... 29 1、某主流网络接入存储 (NAS)设备供应链攻击实例分析 .............. 29 2、某主流 VPN路由器供应链攻击实例分析 ................................ .... 31 3、三款国产操作系统供应链攻击实例分析 ................................ .... 33 4、某国产邮件系统供应链攻击实例分析 ................................ ....... 35 5、Edge浏览器供 应链攻击实例分析 ................................ .............. 36 六、总结及建议 ................................ ................................ ....... 38 附录：奇安信代码安全实验室简介 ................................ ....... 40 1 一、概述 数字化时代 ，软件的重要 性和软件供应链安全问题的 严峻性已 成 为各方共识。为此，奇安信代码安全实验室去年发布了《 2021中国软 件供应链安全分析报告 》（https://h5.qianxin.com/threat/report /detail/132 ） ，从多个维度分析了软件供应链的安全风险，并提供了 详实的统计数据。 本报告是该系列年度分析报告的第二期 ，继续针对国内企业自主 开发的源代码、开源软件生态、国内企业软件开发中开源软件应用等 的安全状况，以及典型应用系统供应链安全风险实例进行深入分析， 并总结趋势和变化。本年度报告相比于去年的报告新增了以下内容： 在开源软件生态发展与安全部分新增了关键基础开源软件分析； 在企 业软件开发中的开源软件应用部分新增了漏洞利用难度的统计分析 和开源许可协议风险分析；在典型软件供应链安全风险实例部分，重 点分析了利用开源软件“老漏洞”攻破最新主流产品的实例，通过多 个实例验证了由于软件供应链的复杂性，开源软件的“老漏洞”也可 以起到“ 0day漏洞”的攻击效果。上述报告内容的变化，感兴趣的读 者在阅读时可以重点关注。 1、软件供应链安全攻击事件保持持续高发 在过去的一年中， 针对软件供应链的安全攻击事件依然呈现出高 发态势，造成的危害也非常严重。 2 2021年8月，台湾芯片设计厂商 Realtek称，其WiFi模块的三 款开发包 (SDK)中存在4个严重漏洞。攻击者可利用这些漏洞攻陷目 标设备并以最高权限执行任意代码。 这些SDK用于至少 65家厂商制 造的近200款物联网设备中。 2021年10月，攻击者劫持了 NPM包 ua-parser-js作者的账户 约4小时， 意图安装 恶意软件。 ua-parser-js每周下载量超过 700万 次，广泛应用于 Facebook 、苹果、亚马逊、微软、 IBM等硅谷巨头企 业中。 2021年11月，热门NPM包coa和rc连续遭劫持，并被植入恶 意代码，影响全球 React管道。coa库每周下载量约 900万，用于 GitHub上近500万个开源库中 ，rc库每周下载量达 1400万。 2021年12月，Apache Log4j 2曝出Log4Shell 漏洞(CVE-2021- 44228)，Apache Log4j2是Java应用最广泛的开源日志组件，广泛 应用于政府