奇安信：2024中国软件供应链安全分析报告 -pg电子娱乐平台

ii目录一、概述........................................................................................11、软件供应链安全攻击手段依然花样百出.................................12、国内企业软件供应链安全状况有所改善.................................4二、国内企业自主开发源代码安全状况..........................................61、编程语言分布情况.................................................................62、典型安全缺陷检出情况..........................................................7三、开源软件生态发展与安全状况.................................................81、开源软件生态发展状况分析...................................................92、开源软件源代码安全状况分析.............................................11（1）编程语言分布情况.........................................................11（2）典型安全缺陷检出情况..................................................123、开源软件公开报告漏洞状况分析..........................................13（1）大型开源项目漏洞总数及年度增长top20....................13（2）主流开源软件包生态系统漏洞总数及年度增长top20..164、开源软件活跃度状况分析.....................................................19（1）68.7%的开源软件项目处于不活跃状态，比例下降........19ii（2）版本频繁更新的项目较去年增长21.6%........................205、关键基础开源软件分析........................................................21（1）主流开源生态关键基础开源软件top50.......................21（2）关键基础开源软件的漏洞披露情况未见改善..................24（3）关键基础开源软件的整体运维风险有所改观..................256、npm生态中恶意开源软件分析............................................26（1）超95%的恶意开源组件以窃取敏感信息为目标.............26（2）典型恶意开源组件及恶意行为剖析................................27四、国内企业软件开发中开源软件应用状况.................................291、开源软件总体使用情况分析.................................................30（1）平均每个软件项目使用166个开源软件，再创新高......30（2）最流行的开源软件被37.2%的软件项目使用.................312、开源软件漏洞风险分析........................................................32（1）存在容易利用的开源软件漏洞的项目占比大幅下降.......32（2）平均每个项目包含的已知开源软件漏洞数明显回落.......33（3）影响最广的开源软件漏洞的影响范围有所减小..............35（4）20多年前的开源软件漏洞仍然存在于多个软件项目中..363、开源软件许可协议风险分析.................................................37（1）最流行的开源许可协议在46.9%的项目中使用..............37iii（2）超1/5的项目使用了含有超、高危许可协议的开源软件.384、开源软件运维风险分析........................................................40（1）多个二三十年前的老旧开源软件版本仍在使用..............40（2）开源软件各版本使用依然混乱.......................................41五、典型软件供应链安全风险实例分析........................................421、多款主流操作系统供应链攻击实例分析...............................422、php软件供应链攻击实例分析............................................433、某国产数据库供应链攻击实例分析......................................45六、总结及建议...........................................................................47附录：奇安信代码安全实验室简介...............................................511一、概述当前，软件供应链安全依然是网络安全中备受关注的方向，基于自研产品的技术能力和第一手实测数据，奇安信代码安全实验室继续推出《2024中国软件供应链安全分析报告》，即本系列年度分析报告的第四期。软件由自主开发的代码与开源代码等第三方代码集成后，形成混源代码，然后通过编译、连接等构建过程形成软件产品，交付给用户使用。在这一软件供应链模型中，每个阶段中的代码或工件都可能引入安全问题，从而导致最终软件供应链安全事件的爆发。本期报告仍以此模型为基础，分析各阶段的代码安全问题对软件供应链安全性的潜在威胁，分析内容分别在后续的国内企业自主开发的源代码安全状况、开源软件生态发展与安全状况、国内企业软件开发中开源软件应用状况、典型软件供应链安全风险实例分析等章节中呈现。在此基础上，本报告还总结了趋势和变化。与往年报告相比， 本期报告在开源软件生态发展与安全部分新增了对npm 生态中恶意 开源软件分析的内容；在典型软件供应链安全风险实例部分，通过实 例再次验证了因软件供应链的复杂性，“外来”组件的“老漏洞”发 挥“0day 漏洞”攻击作用的状况。感兴趣的读者可重点关注。 1、软件供应链安全攻击手段依然花样百出 过去的一年中，软件供应链安全攻击事件没有丝毫减少的趋势， 2 攻击手段依然花样百出。 2023 年10 月，安全人员分析发现了一种新型供应链攻击。整个 9 月，某黑客组织都在使用域名仿冒（typosquatting）和星标劫持 （starjacking）技术向开源包管理器pypi 植入一系列恶意包，并引 诱开发人员使用，而这些恶意包与telegram、aws 和阿里云等热门通 信和电子商务平台所使用的流行软件包高度对应，被认为是故意攻击 这些平台的特定用户。攻击者可以攻陷平台用户设备，窃取金融和个 人信息、登录凭据等敏感数据，可能影响数百万人。 2023 年12 月，ai 安全公司lasso security 的研究人员，在github 和hugging face 平台上发现了1500 多个不安全的api 访问令牌，可 用来访问772 个组织机构的仓库，包括谷歌、微软、vmware 等公司。 其中部分令牌可帮助攻击者获得 meta 公司 bloom、meta-liama、 pythia 等大语言模型（llm）仓库的完全读写权限，攻击者可利用该 漏洞实施llm 训练数据投毒、模型和数据集窃取等恶意行为，从而将 使用这些仓库把llm 能力集成到应用和运营中的组织置于供应链风 险中，危及数百万下游用户的安全。 2024 年2 月，cycode 研究团队披露了谷歌重要的开源构建和测 试工具bazel 的一个供应链安全漏洞的详细信息。bazel 所依赖的 ci\cd 平台github actions 的工作流程中存在命令注入漏洞，可导致 攻击者将恶意代码植入bazel 代码库、创建后门并影响bazel 用户的 生产环境。该漏洞可能影响数百万个依赖于bazel 的项目和平台，包 括kubernetes、angular、uber、linkedin、dababricks、dropbox、nvidia 3 和谷歌自身等。 2024 年3 月初，安全研究人员发现，机器人平台top.gg discord 托管在github 上的源代码遭受到大规模严重供应链投毒攻击，该平 台拥有超17 万成员。分析发现，攻击者劫持了top.gg 的github 账 户，上传了至少14 个伪造的恶意python 流行软件包，并通过这些恶 意软件窃取用户chrome、edge 等浏览器中的敏感数据，包括浏览历 史记录、信用卡详细信息等，并通过出售信息实现盈利。攻击者还试 图窃取telegram 会话数据以侵犯用户隐私。这些攻击同时也影响到 了大量与平台相关的开发人员。 2024 年3 月底，某开发人员在调查ssh 性能问题时发现了涉及 xz utilѕ工具库的供应链攻击，溯源发现ssh 使用的上游liblzma 库 被植入了恶意后门漏洞（cve-2024-3094），满足一定条件时会解密 流量里的c2 命令并执行，从而使攻击者能够破坏sshd 身份验证并远 程获得对整个系统的未经授权访问。xz 是一种由tukaani 项目开发的 高压缩比数据压缩格式，几乎应用于每个linux 发行版中，包括社区 项目和商业产品发行版，liblzma 是一个用于处理xz 压缩格式的开源 软件库。庆幸的是，该漏洞主要影响的xz 5.6.0 和5.6.1 版本尚未被 linux 发行版广泛集成，而且大部分是在预发行版本中。 2024 年5 月，攻击者通过与英国国防部核心网络链接的一个外 部系统，即由英国国防部的一家提供薪资处理服务的外部承包商维护 的薪资处理系统，访问了部分军队支付网络，造成严重的信息泄露。 据统计，攻击者访问了超过22.5 万名英国陆军、海军和皇家空军现 4 役军人、退役军人和预备役军人的姓名、银行账号详情等个人信息。 第三方承包商未能充分的保护系统是这次事件的主要诱因，而这一事 件是在不到一年的时间内发生的第二起因外部承包商而导致的英国 军队数据遭泄露事件。 openssh 可以在cs 架构中提供网络安全信道，被众多企业用于 远程服务器管理和数据安全通信。2024 年7 月初，网络安全公司 qualys 发现，openssh 服务器进程存在“regresshion”漏洞 （cve-2024-6387），攻击者可利用其以 root 权限在基于 glibc 的 linux 系统上实现未认证的远程代码执行，从而实施系统完全接管、 恶意程序安装和后门创建等攻击行为，严重程度堪比log4shell。具 不完全统计，互联网上有1400 多万台易受攻击的openssh 实例，仅 qualys 公司自身的客户中就有约70 万个暴露在互联网上的系统可能 易受攻击。 2、国内企业软件供应链安全状况有所改善 奇安信代码安全实验室通过数据分析发现，与以往历年相比， 2023 年，国内企业自主开发软件的源代码高危缺陷密度明显下降， 并且因使用开源软件而引入安全风险的状况有所改善。尽管如此，软 件供应链安全风险的管控依然值得持续关注，需要更多的投入。