2021年开源软件供应链安全风险研究报告.docxVIP

2021 年开源软件供应链安全风险研究报告 目 录 前 言 1 一、开源漏洞发展现状及趋势 3 发现一：开源软件漏洞整体呈增长趋势，2020 年增长率略有下降 3 发现二：CVE 官方未收录的开源软件漏洞数逐年递增 4 发现三：开源软件漏洞由 POC 披露到 NVD 首次公开时间长达 11 年 4 发现四：近 4 年，高危及以上开源漏洞占比均超 40 5 发现五：2020 年，最主要缺陷类型为 CWE-79 6 二、开源组件生态安全风险分析 8 发现六：开源组件生态中的漏洞数呈上涨趋势，2020 年环比增长 40 8 发现七：近 6 年中 Maven 仓库漏洞数量最多 9 发现八：超半数仓库的漏洞数均较上年有所增长 10 发现九：2020 年高危漏洞占比最高，相比去年增加 2.6 倍左右 10 发现十：2020 年，含高危以上漏洞占比最多仓库是 Rubygems 12 发现十一：平均每版本漏洞最多的TOP 25 组件约五成来自 Composer 仓库 12 三、组件漏洞依赖层级传播范围分析 15 发现十二：一级传播影响范围扩大 125 倍，二级传播影响范围扩大 173 倍 15 发现十三：npm 仓库中的组件经 2 轮传播，影响组件数量最多 16 发现十四：一级传播影响范围最广的仓库是 Composer 16 发现十五：二级传播影响范围最广的仓库是 Nuget 17 发现十六：传播影响范围最小的仓库是Maven 18 四、开源文件潜在漏洞风险传播分析 20 发现十七：超 80 漏洞文件在开源项目具有同源文件 20 发现十八：漏洞文件在开源项目中传播范围扩大 54 倍 21 案例分析 21 五、开源安全风险建议 23 一、开源漏洞发展现状及趋势 开源软件具有代码公开、易获取、可重用的特点，这一特点是开源软件热度攀升的重要原因。随着开源软件的广泛使用，一旦软件发现安全漏洞，必将给开发、安全团队带来严峻的挑战。然而，开源漏洞信息往往散落分布在各大社区，很多漏洞信息不能及时被官方收录。同时，对于软件使用者，由于缺少漏洞信息跟踪能力，使得漏洞修复具有滞后性，提升了软件被攻击的风险，为软件供应链安全管控增加了难度。 本次研究收录了官方漏洞库、开源社区等渠道的数据1，并统一收录整理成开源漏洞知识库。通过从中选取 2015 年至 2020 年发布的开 源漏洞为研究对象，本报告展示了近 6 年开源安全漏洞发展现状及趋势。 发现一：开源软件漏洞整体呈增长趋势，2020 年增长率略有下降 图 1 开源漏洞时间分布 根据调查结果，相比 2015 年漏洞数据，近 5 年的漏洞数量均有不 1 国家信息安全漏洞 CNVD 共享平台（/）、美国国家漏洞库（https://nvd.nist.go v/）、通用漏洞披露库（/）等 同程度增长。2018 年是开源项目快速增长的一年，根据 GitHub 官方数据显示，GitHub 代码仓库中超过 1/3 的开源项目创建于 2018 年，2018年新增开源漏洞数也创下近 6 年新高，新增 7563 个漏洞，相较于 2015 年翻了 2.85 倍；2017 年漏洞增长速度最快，环比增长率为 92.86； 2019 年与 2020 年增长率略有下降，2020 年发布的漏洞数较 2019 年发 布漏洞数少了 1746 条。 发现二：CVE 官方未收录的开源软件漏洞数逐年递增 图 2 CVE 官方未收录开源漏洞情况 对 CVE 官方网站2进行统计，可发现 2020 年发布的开源漏洞中未被 CVE 官方收录漏洞有 1362 个，占 2020 年发布漏洞总数的 23.78 ； CVE 官方未收录数据呈上长趋势，增长率逐年递增，2018 年环比 2017年增长速度达 133.52。 发现三：开源软件漏洞由 POC 披露到 NVD 首次公开时间长达 11 年 2020 年发布的开源漏洞中，编号为 CVE-2009-4067 的 Linux 内核 2 的 Auerswald Linux USB 驱动程序的缓冲区溢出漏洞由 POC 披露到 NVD 首次公开时间长达 11 年。POC 信息在 2009 年 10 月 19 日披露3； 该漏洞于 2009 年 11 月 24 日获得CVE 编号，但未公开漏洞具体信息； 直到 2020 年 11 月 2 日 NVD 官方才将其发布。 开源软件的使用者仅关注官方漏洞库（如 NVD 等）可能无法及时获取漏洞信息，需综合考虑更多渠道的漏洞数据。 发现四：近 4 年，高危及以上开源漏洞占比均超 40 图 3