【通信產業網訊】7月24日，奇安信集團對外發布《2023中國軟件供應鏈安全分析報告》（以下簡稱《報告》），深入分析了過去一年來國內軟件供應鏈中開源軟件應用的安全狀況并附以典型案例加以說明，總結了開源軟件供應鏈風險的趨勢和變化。

軟件供應鏈安全事件影響廣、危害大，仍然是各界的聚焦點。開源軟件安全是軟件供應鏈安全的重中之重。本《報告》是該系列年度分析報告的第三期，新增了開源項目維護者對所反饋安全問題的修復和確認情況、不同行業軟件項目使用開源軟件的風險分析、超危和高危開源許可協議的使用情況、開源軟件“老漏洞”發揮“0day漏洞”攻擊作用實例分析等部分，值得重點關注。

《報告》顯示，2022年開源軟件生態依然繁榮。2021年底和2022年底，主流開源軟件包生態系統中開源項目總量分別為4395386個和5499977個，一年間增長了25.1%；截至2022 年底，主流開源軟件包生態系統中平均每個開源項目有12.6個版本，較前兩年報告的11.8個和10.2個呈持續增長的趨勢。

開源軟件風險管控是軟件供應鏈安全的重中之重

奇安信代碼安全實驗室通過數據分析發現，與前兩年相比，開源軟件自身的安全狀況持續下滑，國內企業軟件開發中因使用開源軟件而引入安全風險的狀況更加糟糕，開源軟件供應鏈安全風險管控依然任重道遠。

過去一年，開源軟件漏洞數量持續增長，2022年新增的開源軟件漏洞為7682個。根據“奇安信開源項目檢測計劃”的實測數據顯示，三年來開源軟件的總體缺陷密度和高危缺陷密度呈現出逐年上升的趨勢，均處于較高水平，2022年全年,共對2098個開源軟件項目的源代碼進行了安全檢測，代碼總量為173174712行，共發現安全缺陷3646486個，其中高危缺陷222640個，整體缺陷密度為21.06個/千行，高危缺陷密度為1.29個/千行。

2022年，奇安信代碼安全實驗室對2631個國內企業軟件項目中使用開源軟件的情況進行分析發現：平均每個項目使用155個開源軟件，遠高于之前的126和127個。同時，存在已知開源軟件漏洞的項目有2411個，占比達91.6%；存在已知高危開源軟件漏洞的項目有2268個，占比為86.2%；存在已知超危開源軟件漏洞的項目有2032個，占比為 77.2%；存在容易利用的漏洞的項目有2089個，占比為79.4%，這四個比例均比去年有所提高。平均每個項目存在110個已知開源軟件漏洞。

十類典型缺陷的總體檢出率為72.3%，與去年73.5%相當，遠高于前年的56.3%?？傮w來看，開源軟件自身的安全問題愈發嚴峻。

重視不夠、修復不及時，開源運維風險突出

《報告》指出，開源項目維護者對安全問題的重視度和修復積極性較低。2022年，“奇安信開源項目檢測計劃”共向各被測開源項目的維護者反饋1484個安全問題，僅有547個得到確認并修復，其他937個反饋不修復、未反饋，或無人處理，安全問題的修復率僅為36.9%。另據統計發現，一個安全問題從提交到維護人員反饋確認并修復，時間較長的可長達一年甚至更久。

并且從開源軟件活躍度角度看，不活躍的開源軟件，一旦出現安全漏洞，難以得到及時的修復。如果將超過一年未更新發布過版本的開源軟件項目定義為不活躍項目，數據顯示，2022年全年，主流開源軟件包生態系統中不活躍的開源軟件項目數量3967204個，占比高達72.1%。，與去年的69.9%和前年的61.6%相比，呈現出逐年升高的趨勢。

對八個典型的開源軟件包生態系統進行分析和比較發現，除Nuget外，其他各包生態系統中不活躍項目的占比較去年報告數據均有小幅升高，Nuget則從去年的68.1%大幅下降至54.3%。NPM的不活躍項目數量最多，達1693287個，Rubygems的不活躍項目比例仍為最高，占比高達90.5%。

開源軟件“老漏洞”依然發揮著“0day 漏洞”的攻擊作用

《報告》分析發現，與前兩年結果一致，部分軟件項目中仍然存在很久之前公開的古老開源軟件漏洞。其中，最古老的漏洞是2002年3月15日公開的 CVE-2002-0059，距今已21年，仍然存在于11個項目中。在開源項目版本管理方面，近30年前的老舊開源軟件版本仍然在使用，同一開源軟件各版本的使用依然混亂。這些開源軟件的“老漏洞”發揮了“0day 漏洞”的攻擊作用。

典型案例如Zimbra Collaboration Suite（ZCS）這款開源協同辦公套件，目前應用于全球140個國家的20多萬個組織中，CVE-2022-41352是影響 ZCS 8.8.15和 9.0的一個超危歷史漏洞。分析驗證發現，目前依然可以利用該歷史漏洞，通過ZCS 8.8.15 patch34和9.0.0 patch27在系統上實現任意文件上傳的軟件供應鏈攻擊。

再如，CVE-2020-12695是UPnP協議的一個高危歷史漏洞，又被稱作CallStranger漏洞，攻擊者可利用它繞過內網的數據防泄漏（DLP）系統，實現數據逃逸，從而導致敏感數據泄露；還可以對設備所在內網進行掃描，甚至還能劫持設備進行分布式拒絕服務（DDoD）攻擊。該漏洞影響產品的范圍非常廣泛。在某國際知名廠商生產的企業級千兆無線路由器中，該路由器的固件使用開源工具MiniUPnPd來實現 UPnP 服務，當UPnP服務功能開啟時，UPnP協議漏洞會影響該路由器，對路由器所在內網進行掃描，由此引發軟件供應鏈攻擊。

需加速落地開源軟件供應鏈的系統化安全治理措施

《報告》提到，近年來國外各組織機構推進和出臺了一系列針對開源治理的措施和解決方案。然而，國內還未形成統一的規范和流程，缺少統一的開源治理體系架構、指南和公共服務平臺支撐，為此提出三方面的建議，一是制定具有普遍共識的開源治理框架和指南；二是建立開源治理平臺和漏洞響應機制，方便各方開展開源軟件資產風險監測；三是提升針對開源軟件供應鏈的“五防”能力，即防漏洞、防投毒、防侵權、防停服、防斷供。

掃一掃，馬上閱讀全文：