功夫:2024-08-12 作者:ca88登陆平台
2024年8月12日,,,,,ca88登陆平台对表颁布《2024中国软件供给链安全分析汇报》(以下简称《汇报》)。。。。。。《汇报》显示,,,,,国内企业软件项目,,,,,开源软件使用率达100%。。。。。。目前,,,,,开源软件缝隙指标仍处于高位,,,,,软件供给链的安全问题并没有得到底子性的改善,,,,,20多年前的开源软件缝隙依然存在于多个软件项目中。。。。。。《汇报》建议,,,,,软件供给链安全保险应加强顶层设计,,,,,持续推动和落地有关保;;;;;;;すぷ。。。。。。
作为本系列年度分析汇报的第四期,,,,,本汇报深刻分析了从前一年来代码安全问题对软件供给链安全性的潜在威胁,,,,,总结了趋向和变动。。。。。。与往年汇报相比,,,,,本期汇报在开源软件生态发展与安全数分新增了对NPM生态中恶意开源软件分析的内容;;;;;;;;并通过多个事俘再次验证了“表来”组件“老缝隙”阐扬“0day缝隙”攻击作用的情况。。。。。。感兴致的读者可沉点关注。。。。。。
国内软件供给链安全情况有所改善,,,,,但缝隙指标仍处于高位
ca88登陆平台代码安全尝试室通过数据分析发现,,,,,与积年相比,,,,,2023年国内企业自主开发软件的源代码高危缺点密杜仔所降落,,,,,并且因使用开源软件而引入安全风险的情况有肯定改善。。。。。。只管如此,,,,,有关缝隙指标仍处于高位,,,,,软件供给链安全风险的管控亟待进一步加强。。。。。。

《汇报》通过对2023年国内企业自主开发源代码的分析发现,,,,,固然整体缺点密度达到12.76个/千行,,,,,高于以往各年,,,,,但高危缺点的密度为0.52个/千行,,,,,比之前三年有显著的降落;;;;;;;;NULL引用类缺点的检出率为25.7%,,,,,较往年也有较大降低。。。。。。ca88登陆平台代码安全尝试室以为,,,,,该趋向的出现,,,,,很大水平上得益于软件开发过程中,,,,,研发企业对沉点缺点逐步器沉,,,,,针对沉点问题的安全编码规范进一步遍及,,,,,并且代码审计工具的使用持续推广。。。。。。
与此同时,,,,,国内企业因使用开源软件而引入安全风险的情况依然不容忽视。。。。。。
2023年,,,,,ca88登陆平台代码安全尝试室对1763个国内企业软件项目中使用开源软件的情况进行分析发现,,,,,全数使用了开源软件,,,,,使用率为100%,,,,,均匀每个项目使用了166个开源软件,,,,,数量再创新高;;;;;;;;另一方面,,,,,均匀每个项目存在83个已知开源软件缝隙,,,,,含有容易利用的开源软件缝隙的项目占比为68.1%;;;;;;;;存在已知开源软件缝隙、高危缝隙、超危缝隙的项目占比别离为88.0%、81.0%和71.9%,,,,,与去年相比均有所降落。。。。。。其他如古老开源软件缝隙、老旧开源软件版本使用等方面的情况根基与之前积年吃旖。。。。。。由此可见,,,,,国内企业使用开源软件的安全情况虽有所好转,,,,,但风险依然处于高位。。。。。。
正所谓“路高一尺魔高一丈”,,,,,在从前一年中,,,,,软件供给链安全攻击事务没有丝毫削减的趋向,,,,,攻击伎俩依然花腔百出。。。。。。例如2023年9月,,,,,某黑客组织都在使用域名仿冒和星标劫持技术向开源包治理器PyPi植入一系列恶意包,,,,,并引诱开发人员使用,,,,,攻击者能够攻下平台用户设备,,,,,窃取金融和幼我信息、登录痛处等敏感数据,,,,,可能影响数百万人。。。。。。2024年7月初,,,,,一家网络安全公司发现OpenSSH服务器过程存在“regreSSHion”缝隙,,,,,攻击者可利用缝隙执行系统齐全收受、恶意法式装置和后门创建等攻击行为,,,,,严沉水平堪比Log4Shell。。。。。。
《汇报》指出,,,,,固然从趋向来看,,,,,上述的软件供给链安全问题有肯定水平的缓解,,,,,但另一方面,,,,,这些指标数据仍处于高位,,,,,软件供给链的安全问题并没有得到底子性的扭转。。。。。。值得欣喜的是,,,,,越来越多的机构和企业起头关注并执行软件供给链的安全,,,,,一些机构和企业基于规范的流程和实际,,,,,落地了相应的解决规划和检测平台。。。。。。但就目前的局势而言,,,,,这些经验、步骤和工具还必要进一步的持续美满、推广和利用。。。。。。
开源软件生态持续繁华,,,,,NPM包项目数量和增速均列第一
凭据ca88登陆平台代码安全尝试室的监测和统计,,,,,2022年底和2023年底,,,,,主流开源软件包生态系统中开源项目总量别离为5499977和7959049,,,,,一年间增长了44.7%,,,,,增速迅猛;;;;;;;;截至2023年底,,,,,主流开源软件包生态系统中均匀每个开源项目有11.3个版本,,,,,与前几年根基吃旖。。。。。。2023年开源软件生态持续繁华。。。。。。
其中,,,,,NPM包生态开源项目数量和增速均位列第一。。。。。。与前三年相比,,,,,NPM超过Godoc,,,,,成为开源项目数增速最快的包生态系统。。。。。。八个典型的开源软件包生态系统中开源项目数量和增长率情况如下图所示,,,,,其中开源项目数量最多的是NPM包生态系统,,,,,截至2023年底,,,,,其开源项目数量达到了4170641,,,,,依然远高于其他生态;;;;;;;;开源项目数量增速最快的也是NPM,,,,,2023年一年间的项目总量增速高达79.1%,,,,,Godoc的项目数增长也很快,,,,,达58.1%。。。。。。

在开源软件源代码检测中,,,,,2023年整年,“ca88登陆平台开源项目检测打算”对2248个开源软件项主张源代码进行了安全检测,,,,,代码总量为309522947行,,,,,共发现安全缺点5108161个,,,,,其中高危缺点355721个,,,,,整体缺点密度为16.50个/千行,,,,,高危缺点密度为1.15个/千行。。。。。。两项缺点密度指标较去年均有所降落。。。。。。

在典型安全缺点检出情况方面,,,,,汇报通过对2248个开源软件项主张缺点检测了局分析发现,,,,,注入、密码治理、日志伪造、跨站剧本、NULL引用、配置治理、输入验证、资源治理、蹊径遍历、API误用等十类典型安全缺点的总体检出率为76.7%,,,,,与前两年相比,,,,,有幼幅升高。。。。。。每类典型缺点积年的检出率及对比情况如下图所示。。。。。。

在开源软件公开汇报缝隙方面,,,,,凭据ca88登陆平台代码安全尝试室监测与统计,,,,,截至2023年底,,,,,CVE/NVD、CNNVD、CNVD等公开缝隙库中共收录开源软件有关缝隙64938个,,,,,其中有7107个缝隙为2023年新增。。。。。。
《汇报》还分析发现,,,,,与前几年汇报数据一致,,,,,多个二三十年前的老旧开源软件版本仍在使用。。。。。。分析发现,,,,,很多软件项目中依然在使用老旧的开源软件版本,,,,,有的版本已经超过30年,,,,,存在极大的运维风险。。。。。。被使用的老旧开源软件版本中,,,,,最早的一款是1993年3月3日颁布的byacc1.9,,,,,已经颁布31年。。。。。。同时,,,,,开源软件各版本使用依然混乱,,,,,这些都给软件供给链安全埋下了巨大风险。。。。。。
建议加强软件供给链安全保险的顶层设计
《汇报》以为,,,,,目前国内短缺软件供给链安全治理领域权威的执行指南;;;;;;;;此表,,,,,对于数量巨大的中幼型软件研发企衣反说,,,,,造订和执行系统的软件供给链安全解决规划面对着成本、精力、人员等诸多难题,,,,,当前可能采取的防护措施相对有限。。。。。。因而,,,,,应加强软件供给链安全保险的顶层设计,,,,,成立健全软件供给链安全的领导监督机造和基础服务设施,,,,,并尽量覆盖所有类型的软件出产和供给商。。。。。。
为此,,,,,《汇报》提出了三方面建议,,,,,一是成立国度层面统一的软件供给链安全保;;;;;;;せ∩枋;;;;;;;二是美满国度和行业级的软件供给链安全测评认证系统;;;;;;;;三是健全关基软件供给商安全实际证明资料的登记机造。。。。。。
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打