1、 1 2023 中国软件供应链安全 分析报告 奇安信代码安全实验室 2023 年 7 月 I 目 录 一、概述一、概述.1 1、软件供应链安全攻击事件依然高发.1 2、开源软件安全是软件供应链安全的重中之重.3 二、国内企业自主开发源代码安全状况二、国内企业自主开发源代码安全状况.5 1、编程语言分布情况.5 2、典型安全缺陷检出情况.6 三、开源软件生态发展与安全状况三、开源软件生态发展与安全状况.7 1、开源软件生态发展状况分析.7 2、开源软件源代码安全状况分析.9（1）编程语言分布情况.10（2）典型安全缺陷检出情况.10（3）安全问题修复确认情况.11 3、开源软件公开报告漏洞状况分

2、析.11（1）大型开源项目漏洞总数及年度增长 TOP20.12（2）主流开源软件包生态系统漏洞总数及年度增长 TOP20.14 4、开源软件活跃度状况分析.15 II（1）超 7 成开源软件项目处于不活跃状态.16（2）超 2.2 万个开源软件一年内更新发布超过 100 个版本.16 5、关键基础开源软件分析.17（1）主流开源生态关键基础开源软件 TOP50.17（2）从未公开披露过漏洞的关键基础开源软件占比进一步升高.20（3）关键基础开源软件的整体运维风险仍处于较高水平.20 四、国内企业软件开发中开源软件应用状况四、国内企业软件开发中开源软件应用状况.21 1、开源软件总体使用情况分析

3、.21（1）平均每个软件项目使用 155 个开源软件.21（2）流行开源软件被超 4 成的软件项目使用.22 2、开源软件漏洞风险分析.22（1）近 8 成软件项目存在容易利用的开源软件漏洞.22（2）平均每个软件项目存在 110 个已知开源软件漏洞.23（3）影响最广的开源软件漏洞存在于超 4 成的软件项目中.24（4）20 多年前的开源软件漏洞仍然存在于多个软件项目中.25 3、开源软件许可协议风险分析.26（1）最流行的开源许可协议在超半数的项目中使用.26（2）1/6 的项目使用了含有超、高危许可协议的开源软件.26 III 4、开源软件运维风险分析.28（1）近 30 年前的老旧开源

4、软件版本仍在被使用.28（2）开源软件各版本使用依然混乱.29 5、不同行业软件项目开源使用风险分析.29（1）各行业软件项目分布情况.29（2）各行业软件项目使用开源软件情况.30（3）各行业软件项目含已知开源软件漏洞情况.31 五、典型软件五、典型软件供应链安全风险实例分析供应链安全风险实例分析.32 1、某主流企业级无线路由器供应链攻击实例分析.32 2、ZCS 协同办公系统供应链攻击实例分析.33 3、多款国产操作系统供应链攻击实例分析.35 4、某国产 CMS 系统供应链攻击实例分析.37 六、总结及建议六、总结及建议.39 附录：奇安信代码安全实验室简介附录：奇安信代码安全实验室简

5、介.42 1 一、一、概述概述 过去的一年，各界对软件供应链安全的关注度依然高涨，相关安全攻击事件也持续增加。为此，奇安信代码安全实验室在前两期中国软件供应链安全分析报告（https:/ 漏洞”攻击作用的状况。感兴趣的读者阅读时可重点关注上述变化之处。1 1、软件供应链软件供应链安全安全攻击攻击事件事件依然依然高发高发 在过去的一年中，针对软件供应链的安全攻击事件持续增加，造成的危害也愈发严重。2022 年 7 月，攻击者通过在 NPM 上发布包时绕过双因子认证 2 (2FA)，创建了 1000 多个用户账号，攻击者利用这些账号自动投放1283 个包含挖矿脚本 eazyminer 的恶意模块，

6、利用数据库、Web 等所在服务器的机器闲置资源进行挖矿，如果开发者安装了这些包，则会在被调用时挖掘门罗币。2022 年 11 月，美国 FBI 和 CISA 发布联合公告指出，未具名的伊朗组织利用 Log4Shell 漏洞入侵了美联邦民事行政部门 FCEB 下属机构的一台未修复的 VMware Horizon 服务器，并部署了挖矿恶意软件 XMRig。FBI 和 CISA 提到，所有尚未修复 VMware 系统中 Log4Shell 漏洞的机构都可能遭受此类攻击。2022 年 12 月，安全研究人员发现了 GitHub Actions 的一个严重漏洞，该漏洞可造成恶意软件植入攻击，进而影响使用