2023中国软件供应链安全分析报告.pdfVIP

2023

中国软件供应链安全

分析报告

奇安信代码安全实验室

2023年7月

1

目录

一、概述1

1、软件供应链安全攻击事件依然高发1

2、开源软件安全是软件供应链安全的重中之重3

二、国内企业自主开发源代码安全状况5

1、编程语言分布情况5

2、典型安全缺陷检出情况6

三、开源软件生态发展与安全状况7

1、开源软件生态发展状况分析7

2、开源软件源代码安全状况分析9

（1）编程语言分布情况10

（2）典型安全缺陷检出情况10

（3）安全问题修复确认情况11

3、开源软件公开报告漏洞状况分析11

（1）大型开源项目漏洞总数及年度增长TOP2012

（2）主流开源软件包生态系统漏洞总数及年度增长TOP2014

4、开源软件活跃度状况分析15

I

（1）超7成开源软件项目处于不活跃状态16

（2）超2.2万个开源软件一年内更新发布超过100个版本16

5、关键基础开源软件分析17

（1）主流开源生态关键基础开源软件TOP5017

（2）从未公开披露过漏洞的关键基础开源软件占比进一步升高

20

（3）关键基础开源软件的整体运维风险仍处于较高水平20

四、国内企业软件开发中开源软件应用状况21

1、开源软件总体使用情况分析21

（1）平均每个软件项目使用155个开源软件21

（2）流行开源软件被超4成的软件项目使用22

2、开源软件漏洞风险分析22

（1）近8成软件项目存在容易利用的开源软件漏洞22

（2）平均每个软件项目存在110个已知开源软件漏洞23

（3）影响最广的开源软件漏洞存在于超4成的软件项目中24

（4）20多年前的开源软件漏洞仍然存在于多个软件项目中25

3、开源软件许可协议风险分析26

（1）最流行的开源许可协议在超半数的项目中使用26

（2）1/6的项目使用了含有超、高危许可协议的开源软件26

II

4、开源软件运维风险分析28

（1）近30年前的老旧开源软件版本仍在被使用28

（2）开源软件各版本使用依然混乱29

5、不同行业软件项目开源使用风险分析29

（1）各行业软件项目分布情况29

（2）各行业软件项目使用开源软件情况30

（3）各行业软件项目含已知开源软件漏洞情况31

五、典型软件供应链安全风险实例分析32

1、某主流企业级无线路由器供应链攻击实例分析32

2、ZCS协同办公系统供应链攻击实例分析33

3、多款国产操作系统供应链攻击实例分析35

4、某国产CMS系统供应链攻击实例分析37

六、总结及建议39

附录：奇安信代码安全实验室简介42

III

一、概述

过去的一年，各界对软件供应链安全的关注度依然高涨，相关安

全攻击事件也持续增加。为此，奇安信代码安全实验室在前两期《中

国软件供应链安全分析报告》（/threat/

reportdetail?report_id=161）的基础上，推出本分析报告。

作为该系列年度分析报告的第三期，本报告继续针对国内企业自

主开发的源代码、开源软件生态、国内企业软件开发中开源软件应用

等的安全状况，以及典型应用系统供应链安全风险实例进行深入分析，

并总结趋势和变化。相比于去年的报告，本报告有以下新增之处：在

开源软件生态发展与安全部分新增了开源项目维护者对他人提交安

全问题的修复确认情况；在企业软件开发中的开源软件应用部分新增

了对不同行业软件项目开源使用风险的分析，对开源许可协议的