《2024中国软件供应链安全分析报告-2024.08-56正式版.docx》由会员分享,可在线阅读,更多相关《2024中国软件供应链安全分析报告-2024.08-56正式版.docx(41页珍藏版)》请在课桌文档上搜索。
1、2024中国软件供应链安全分析报告THEREPORT奇安信代码安全实验室目录一、概述11、软件供应链安全攻击手段依然花样百出12、国内企业软件供应链安全状况有所改善4二、国内企业自主开发源代码安全状况61、编程语言分布情况62、典型安全缺陷检出情况7三、开源软件生态发展与安全状况81、开源软件生态发展状况分析92、开源软件源代码安全状况分析11(1)编程语言分布情况11(2)典型安全缺陷检出情况123、开源软件公开报告漏洞状况分析13(1)大型开源项目漏洞总数及年度增长TOP2013(2)主流开源软件包生态系统漏洞总数及年度增长TOP20.164、开源软件活跃度状况分析19(1)68.7%的开
2、源软件项目处于不活跃状态,比例下降19B奇安信代码安全实验室QI-ANXINCOOtSAFETEAM(2)版本频繁更新的项目较去年增长21.6%205、关键基珊开源软件分析21(1)主流开源生态关键基础开源软件TOP5021(2)关键基础开源软件的漏洞披露情况未见改善24(3)关键基础开源软件的整体运维风险有所改观256、NPM生态中恶意开源软件分析26(1)超95%的恶意开源组件以窃取敏感信息为目标26(2)典型恶意开源组件及恶意行为剖析27四、国内企业软件开发中开源软件应用状况291、开源软件总体使用情况分析30(1)平均每个软件项目使用166个开源软件,再创新高30(2)最流行的开源软件
3、被37.2%的软件项目使用312、开源软件漏洞风险分析32(1)存在容易利用的开源软件漏洞的项目占比大幅下降.32(2)平均每个项目包含的已知开源软件漏洞数明显回落.33(3)影响最广的开源软件漏洞的影响范围有所减小35(4)20多年前的开源软件漏洞仍然存在于多个软件项目中.363、开源软件许可协议风险分析37(1)最流行的开源许可协议在46.9%的项目中使用37和谷歌自身等。2024年3月初,安全研究人员发现,机器人平台Top.ggDiscord托管在GitHub上的源代码遭受到大规模严重供应链投毒攻击,该平台拥有超17万成员。分析发现,攻击者劫持了Top.gg的GitHub账户,上传了至少
4、14个伪造的恶意Python流行软件包,并通过这些恶意软件窃取用户Chrome,Edge等浏览器中的敏感数据,包括浏览历史记录、信用卡详细信息等,并通过出售信息实现盈利。攻击者还试图窃取Te1.egram会话数据以侵犯用户隐私。这些攻击同时也影响到了大量与平台相关的开发人员。2024年3月底,某开发人员在调查SSH性能问题时发现了涉及XZUtiIS工具库的供应链攻击,溯源发现SSH使用的上游Iib1.zma库被植入了恶意后门漏洞(CVE-2024-3094),满足一定条件时会解密流量里的C2命令并执行,从而使攻击者能够破坏SSHD身份验证并远程获得对整个系统的未经授权访问。XZ是一种由TUka
5、ani项目开发的高压缩比数据压缩格式,几乎应用于每个1.inUX发行版中,包括社区项目和商业产品发行版,Iib1.zma是一个用于处理XZ压缩格式的开源软件库。庆幸的是,该漏洞主要影响的XZ5.6.0和5.6.1版本尚未被1.inUX发行版广泛集成,而且大部分是在预发行版本中。2024年5月,攻击者通过与英国国防部核心网络链接的一个外部系统,即由英国国防部的一家提供薪资处理服务的外部承包商维护的薪资处理系统,访问了部分军队支付网络,造成严重的信息泄露。据统计,攻击者访问了超过22.5万名英国陆军、海军和皇家空军现奇安值代码安全实验室Qianxincooesafeteam役军人、退役军人和预备役
6、军人的姓名、银行账号详情等个人信息。第三方承包商未能充分的保护系统是这次事件的主要诱因,而这一事件是在不到一年的时间内发生的第二起因外部承包商而导致的英国军队数据遭泄露事件。OpenSSH可以在CS架构中提供网络安全信道,被众多企业用于远程服务器管理和数据安全通信。2024年7月初,网络安全公司Qua1.ys发现,OPenSSH服务器进程存在“regreSSHion”漏洞(CVE-2024-6387),攻击者可利用其以root权限在基于g1.ibc的1.inux系统上实现未认证的远程代码执行,从而实施系统完全接管、恶意程序安装和后门创建等攻击行为,严重程度堪比1.og4She1.1.0具不完全
7、统计,互联网上有1400多万台易受攻击的OPenSSH实例,仅QUa1.yS公司自身的客户中就有约70万个暴露在互联网上的系统可能易受攻击。2、国内企业软件供应链安全状况有所改善奇安信代码安全实验室通过数据分析发现,与以往历年相比,2023年,国内企业自主开发软件的源代码高危缺陷密度明显下降,并且因使用开源软件而引入安全风险的状况有所改善。尽管如此,软件供应链安全风险的管控依然值得持续关注,需要更多的投入。1)国内企业自主开发软件的源代码高危缺陷密度明显下降通过对2023年国内企业自主开发源代码的分析发现,虽然整体缺陷密度达到12.76个/千行,高于以往各年,但高危缺陷的密度为0.52个/千行
8、,比之前三年有明显的下降;此外,NU1.1.引用类缺陷的检出率为25.7%,较往年也有较大降低。上述趋势的出现,应该在很大程度上得益于以下措施的采取:软件开发过程中,研发企业对重点缺陷逐渐重视,针对重点问题的安全编码规范进一步普及,并且代码审计工具的使用持续推广。2)国内企业因使用开源软件而引入安全风险的状况有所改善2023年,奇安信代码安全实蛉室对1763个国内企业软件项目中使用开源软件的情况进行分析发现,平均每个项目使用了166个开源软件,数量再创新高。但另一方面,平均每个项目存在83个已知开源软件漏洞,含有容易利用的开源软件漏洞的项目占比为68.1%,以上两项指标与去年相比降幅较大;此外
9、,存在已知开源软件漏洞、高危漏洞、超危漏洞的项目占比分别为88.0%、81.0%和71.9%,与去年相比均有所下降。其他方面,如项目中存在古老开源软件漏洞、老旧开源软件版本使用、同一开源软件各版本使用混乱等方面的状况基本与之前历年持平。总体而曾,国内企业使用开源软件的安全状况有所好转。虽然从趋势来看,上述的软件供应链安全问题有一定程度的缓解,但另一方面,这些指标数据仍处于高位,软件供应链的安全问题并没有得到根本性的改变。值得高兴的是,越来越多的机构和企业开始关注并实施软件供应链的安全,一些机构和企业基于规范的流程和实践,落地了相应的解决方案和检测平台。但就目前的形势而言.这些经验、方法和工具还
10、需要进一步的持续完善、推广和应用。奇安信代码安全实验室QIANXINCODCSAFeTtAM二、国内企业自主开发源代码安全状况源代码的安全是软件供应链安全的基础。2023年全年,奇安信代码安全实验室对1858个国内企业自主开发的软件项目的源代码进行了安全缺陷检测,检测的代码总量为408909802行,共发现安全缺陷5216473个,其中高危缺陷211355个,整体缺陷密度为12.76个/千行,高危缺陷密度为0.52个/千行。与以往历年相比,整体缺陷密度升高较快,但高危缺陷密度有较大幅度的降低。这应该与开发者对高危缺陷类型的重点防范及相应安全编码规范的使用有关。1、编程语言分布情况在1858个国
11、内企业自主开发的软件项目中,共使用了17种编程语售,使用项目数排名前3的分别为Java、C心+和Python,对应的软件项目数量分别为1258个、246个和118个,PythOn取代NodeJS奇安值代码安全实验室OIANXINCODESAFETfAM再次回到第三的位置。JaVa语售项目占比达67.7%,但低于去年的76.1%0国内企业在进行软件开发时,Java语言仍然最受欢迎。编程语售的分布情况如下图所示。2、典型安全缺陷检出情况对1858个软件项目的源代码缺陷检测结果进行分析和统计发现,注入、密码管理、日志伪造、跨站脚本、NU1.1.引用、配置管理、输入验证、资源管理、路径遍历、AP1.误
12、用等十类典型安全缺陷的总体检出率(即含有某类缺陷的软件项目数占项目总数的比例)为71.1%,与去年的74.1%基本持平。每类典型缺陷历年的检出率及对比情况如下图所示。自主开发软件典型缺陷历年检出率对比2023年49.036.O35.7%32.1%31.3%30.8%28.8%25.7%17.$%16.7%2022年50.5%44.2%40.1%40.0%30.3%43.3%30.1%43.1%24.8%17.6%202HP41.%35.1%26.3%28.4%22.8%29.9%31.5%302%18.212.5%2020年50.39.5%37.3%39.631.0%31.6%28.7%3I2
13、8.OI82可以看出,输入蛉证类和跨站脚本类缺陷的检出率较高,依然排在前两位,特别是输入验证类缺陷,检出率依旧高达49%;同时,配置管理类和日志伪造类缺陷的检出率依然排在最后两位;与过去历年相比,NU1.1.引用类缺陷的检出率有较大下降,这可能与研发人员对此类问题的特别关注有关;其他类型缺陷的检出率在正常的波动范围内。国内企业在自主开发软件时,应继续关注针对这些缺陷类型的代码修复问题。三、开源软件生态发展与安全状况开源软件在现代软件开发中持续发挥着基础支持的作用。本期报告除了延续开源软件生态发展状况、开源软件源代码安全状况、开源软件公开报告漏洞状况、开源软件活跃度状况、关键基础开源软件分析五部
14、分内容外,在对2023年开源软件生态发展与安全状况进行综合分析时,还增加了针对NPM生态中恶意开源软件的分析。1、开源软件生态发展状况分析根据奇安信代码安全实蛉室的监测和统计,2022年底和2023年底,主流开源软件包生态系统中开源项目总量分别为5499977和7959049,一年间增长了44.7%,增速迅猛;截至2023年底,主流开源软件包生态系统中平均每个开源项目有11.3个版本,与前几年基本持平。2023年开源软件生态持续繁荣。对Maven、NPM、Packagist.Pypi、Godoc、NugetxRubygems.SWift等八个典型开源软件包生态系统的具体分析如下:NPM包生态开
15、源项目数量和增速均位列第一。与前三年相比,NPM超越GodoC,成为开源项目数增速最快的包生态系统。八个典型的开源软件包生态系统中开源项目数量和增长率情况如下图所示,其中开源项目数量最多的是NPM包生态系统,截至2023年底,其开源项目数量达到了4170641,依然远高于其他生态;开源项目数量增速最快的也是NPM,2023年一年间的项目总量增速高达79.1%,GOdoC的项目数增长也很快,达58.1%。典型开源软件包生态系统中项目数量变化情况450000040000003500000300000025000002000000150000010000005000UNPMPackagistPypi
16、GodocNugctRUbygemSSWiR,2022年数*6560902328687382623438973$11387576800173691901362023年数It7272284170641421935536523$0906164096617869394886增长率10.8%79.1%10.3%22J58.1%11.1%2.9%5.3%Maven包生态系统的开源项目开发者依然最勤奋”,开源项目的平均版本数超过23个。截至2023年底,八个典型的开源软件包生态系统的开源项目数量和版本数量如下表所示。其中,MaVen包生态系统平均每个开源项目有高达23.6个版本,比去年的21.9又有增加;
17、NPM和Godoc的开源项目平均版本数有所降低,分别从13.4和9.4降至10.2和8.8。序号包生态系统2023年项目数2023年版本数平均版本数1Maven7272281719158223.62NPM41706414269280610.23Packagist421935538080912.84Pypi536523554033010.35Godoc80906171078328.86Nuget640966809115112.67Rubygems17869314236318.08Swift948866665247.02、开源软件源代码安全状况分析2023年全年,“奇安信开源项目检测计划”对224
18、8个开源软件项目的源代码进行了安全检测,代码总量为309522947行,共发现安全缺陷5108161个,其中高危缺陷355721个,整体缺陷密度为16.50个/千行,高危缺陷密度为1.15个/千行。两项缺陷密度指标较去年均有所下降。开源软件平均缺陷密度历年对比(1)编程语言分布情况2023年检测的2248个开源项目中,共涉及10种编程语言,分别是Java、CC+vJavaScriptPythonxGroovyvC#1.Ua、Kot1.in、Ruby和Go1.编程语言的分布情况如下图所示。被测项目中,使用Java、C/C+、JavaScript和Python四种语售开发的开源软件约占34oOI-
19、ANXINCOOeSAFETEAM开源项目编程语言总体分布情况KOdn97,4.3%Ruby.91.4.0%Go.45.2.0%15.8%(2)典型安全缺陷检出情况对2248个开源软件项目的缺陷检测结果分析发现,注入、密码管理、日志伪造、跨站脚本、NU1.1.引用、配置管理、输入验证、资源管理、路径遍历、AP1.误用等十类典型安全缺陷的总体检出率为76.7%,与前两年相比,有小幅升高。每类典型缺陷历年的检出率及对比情况如下图所示。开源软件典型缺陷历年检出率对比30.0%20.0%10.0%0.0%2023年352%M.732.3%29.7%25S%25.0%24.8%19.6%18.0%11.
20、0%2022年29.5%28.635.0%7.521.8%18.6%31.7%17.3%10.9%9.4%2021年25.1%36.7%33.01J.5%21.418.2%36.5%22.9%IS.010.8%2O2OM.9%30.7%20.7%13.8%28.6%24.3%24.8%17.9%19.1%!2.940.0%可以看出,除了密码管理类缺陷的检出率较往年,特别是去年有较大幅度的提升外,其他均在正常的波动范围内。从历年数据来看,输入蛇证、路径遍历和资源管理三类缺陷的检出率较高,均在30%左右或以上;日志伪造、跨站脚本和配置管理三类缺陷检出率较低,均在20%左右或以下。3、开源软件公开报
21、告漏洞状况分析根据奇安信代码安全实验室监测与统计,截至2023年底,CVE/NVD.CNNVDxCNVD等公开漏洞库中共收录开源软件相关漏洞64938个,其中有7107个漏洞为2023年新增。(1)大型开源项目漏洞总数及年度增长ToP20截至2023年底,历史漏洞总数排名前20的大型开源项目信息如下表所示。1.inuxKernekChromium(Goog1.eChrome)和Mozi1.1.aFirefoxOianxincooesafekam17ImageMagickhttps:/imagemagick.org/index.php65818Jenkinshttps:/www.jenkins.
22、io/57219Mood1.ehttps:/mood1.e.org/52720XenProject(Hypervisor)https:/xenproject.org/5152023年一年间,公开报告漏洞数量增长排名前20的大型开源项目信息如下表所示,1.inuxKerne1.依然是一年来增加漏洞最多的项目,达到607个。序号大型开源项目主页地址2023年漏洞增量11.inuxKerne1.https:/www.kerne1.org/6072Chromium(Goog1.eChrome)http:/www.chromium.org/2753Mozi1.1.aFirefoxhttps:/www.m
23、ozi1.1.a.org/en-US/firefox/1864Git1.ab16551.inux-awshttps7aws.amazon.m14261.inux-gcp14171.inux-azure1388FirefoxESRhttps:/www.mozi1.1.a.org/en-US/firefoxenterprise1209Thunderbird119Oianxincooesafekam3E1.ectron-Cross-p1.atformdesktopapp1.icationshe1.1.NPM3144E1.ectron-Cross-p1.atformdesktopapp1.icatio
24、nshe1.1.Maven2525JenkinsMaven2466ApacheTomcatMaven2007XWikiMaven1698TYPO3CMSPackagist1639OpenSS1.Conan15910RubyonRai1.sRuby12811MagentoCorePackagist12212FFmpeg-iOSSwift12113PhpMyAdminPackagist12014OpenSS1.Swift11315DjangoPyPi10716Do1.ibarrERP&CRMPackagist10617keyc1.oakMaven10218Drupa1.(core)Packagis
25、t9819phpMyFAQPackagist9420P1.onePypi932023年一年间,主流开源软件包生态系统中公开报告漏洞数量增长排名前20的开源软件信息如下表所示。19cryptographyConda1520aheinze/cockpitPackagist154、开源软件活跃度状况分析本年度报告依然把活跃度作为衡量开源软件安全性的一个维度。太过活跃的开源软件,其版本更新发布频率过高,会增加使用者运维的成本和安全风险;不活跃的开源软件,一旦出现安全漏洞,难以得到及时的修复。因此,两者都会给运维带来一些风险。(1)68.7%的开源软件项目处于不活跃状态,比例下降报告中依然将超过一年未更
26、新发布版本的开源软件项目定义为不活跃项目。2023年全年,主流开源软件包生态系统中不活跃的开源软件项目数量为5469685个,占比为68.7%,低于去年的72.1%,与前年的69.9%基本持平。对八个典型的开源软件包生态系统进行分析和比较发现,NPM从去年的72.7%大幅度下降为60.4%,NUget从去年的54.3%迅速上升至79.0%o除此之外,其他包生态系统中不活跃项目的占比均与去年持平。NPM的不活跃项目数量依然最多,达2520717个,RUbygemS的不活跃项目占比依然最高,达90.7%o具体数据见下表。序号包生态系统项目总数不活跃项目数不活跃项目比例1Maven727228504
27、36269.4%2NPM4170641252071760.4%Qi-ANXiNCooesafeteam3Packagist42193532291576.5%4Pypi53652335848866.8%5Godoc80906160926475.3%6Nuget64096650621379.0%7Rubygems17869316214490.7%8Swift948868375588.3%(2)版本频繁更新的项目较去年增长21.6%2023年全年,主流开源软件包生态系统中,更新发布100个以上版本的开源项目有27234个,较去年增长21.6%。八个典型的开源软件包生态系统中,一年内更新发布超过100
28、个版本的项目数量见下表。排名包生态系统对应的开发语言一年内发布超过100个版本的项目数1NPMJavascript162292MavenJava31923Nuget,NET27464GodocGo21565PypiPython14956PackagistPHP9527RubygemsRuby2758SwiftSwift18Oianxincooesafekam25inquirerNPM2890126com.goog1.e.guava:guavaMaven2729327ch.qos.1.ogbackJogback-c1.assicMaven2709628matp1.ot1.ibPypi265012
29、9requestNPM2583130org.je1.brains.ko1.1.in:kot1.in-std1.ib-jdk8Maven2582631org.mockito:mockito-coreMaven2439732fs-etraNPM2413333scipyPypi2399434com.fasterm1.jackson.corejackson-databindMaven2358135monscommons-1.a11g3Maven2181736typescriptNPM2093937COmmonS-io:8mmons-ioMaven2084938react-domNPM2031439or
30、g.ProjectIombokJombokMaven2030640IaraveIZframeworkPackagist1867041org.c1.ojure:c1.ojureMaven1806442c1.ickPypi1798743tqdmPypi1720244pytest-covPypi1654345momentNPM1579646com.goog1.e.code.gson:gsonMaven1539147Microsoft.Extensions.Dependency1.njection.AbstractionsNuget1501548PryRubygems1497849OdOOPypi14
31、58850org.assertj:assertj-coreMaven14556(2)关键基础开源软件的漏洞披露情况未见改善分析发现,历年来,有较大比例的关键基础开源软件从未公开披露过漏洞,造成这种现象的原因主要有两个,一方面,有的关键基础开源软件,特别是有的开源社区中的软件,漏洞虽然已被修复了,但没有记录和公开;另一方面,维护和安全研究等相关人员对一些关键基础开源软件安全性的关注程度不够,对它们漏洞挖掘的研究还不多。2023年,对1709款关键基础开源软件分析发现,有1313款从未公开披露过漏洞,占比达76.8%,呈现出逐年升高的趋势,如下图所示。但另一方面,关键基础开源软件中也不乏漏洞披露流
32、程非常正规的优秀开源项目。本期报告依然从“版本更新时间”和“周提交频率”两个维度来分析判断关键基础开源软件的运维状况。首先,关键基础开源软件新版本发布的活跃度有较大提升。截止2023年底,半年内没有发布过新版本的关键基础开源软件有453款,占比为26.5%,较去年的41.5%有较大的下降。其次,关键基础开源软件提交的积极性有所降低。去年一年内,周平均提交次数小于5和小于1的关键基础开源软件数量分别为1245和916,占比分别为72.8%、53.6%,两项指标较前两年持续升高。此外,在TOP50的关键基础开源软件中,有34款软件明确已获得大厂或者基金会支持,比前两年的23和24款有明显增加;Gi
33、thub贡献者数量小于100的有8款,比去年和前年减少1款。6、NPM生态中恶意开源软件分析分析发现,NPM包生态系统较容易受到恶意代码投毒攻击。2023年,奇安信代码安全实验室通过开源仓库监控平台,共检测出该包生态系统中的381个恶意开源组件。(1)超95%的恶意开源组件以窃取敏感信息为目标其中,大部分恶意组件的攻击集中在下载安装阶段,恶意行为包括用户敏感信息窃取、主机敏感信息窃取、Git账户信息窃取、主机失陷攻击、恶意域名访问,各类恶意开源组件的数量和占比如下图所示。可以看出,95.3%的恶意组件以窃取敏感信息为最终目标,这些敏感信息包括用户名、密码、DNS、服务器IP、GithUb配置等
34、。NPM恶意组件分布情况主机失陷攻击.11.2.9%名意域名访问.7.functionPoN(Ur1.data)(datafodu1.e-*1.1.M8wconstdtaString-JSOM.stringify(dta)ctoptions-etbod:POST,heder:1.Contcnt-,rngtb,:constreqhttps.request(ur1.,optionsf(r$)if(ressttuCode299)returnreject(newfrror(HTTPstatuscode(res.statuCode)constbody)re.on(d4tt(chunk)body.push
35、(chunk)res.on(,end,()(constreString-Buffer.concat(body).toString()reso1.ve(resStri11g)1req.on(error(err)reject(err)req.oft(,t1.eout*,()req.destroy()greject(rxwfrrr(Requestteout()1req.Write(datString);;r.eftd().ctch(ig11ore)四、国内企业软件开发中开源软件应用状况2023年,奇安信代码安全实验室对1763个国内企业软件项目中使用开源软件的情况进行了分析,包括其中开源软件的使用,
36、以及由此所带来的漏洞和许可证风险等安全问题的情况。使用开源软件数量排名前10的项目(2)最流行的开源软件被37.2%的软件项目使用在被分析的1763个国内企业软件项目中,使用最多的开源软件为S1.F4JAPIModu1.e,被656个项目所使用,占比为37.2%,低于去年43.6%的水平。被使用最多的前10名开源软件如下表所示。开源软件名称使用的项目数被使用率S1.F4JAPIModu1.e65637.2tyCommonsIo:CommonsIo62735.6%ApacheCommonsCodec62535.f%Fasterxm1.JacksonCore:JacksonDatabind5913
37、3.5%Fasterxm1.JacksonCore:JacksonCore57932.8%Fasterxm1.JacksonCore:JacksonAnnotations57132.4c4Goog1.eGuava:Guava55331.4ApacheCommons:Commons1.ang354530.9%fastjson1-mpatib1.e53230.2%ApacheCommons1.ogging51829.42、开源软件漏洞风险分析(1)存在容易利用的开源软件漏洞的项目占比大幅下降统计发现,在被分析的1763个国内企业软件项目中,存在已知开源软件漏洞的项目有1551个,占比为88.0%;
38、存在已知高危开源软件漏洞的项目有1428个,占比为81.0%;存在已知超危开源软件漏洞的项目有1268个,占比为71.9%0这三个比例均略低于去年水平,与2021和2020年基本持平。综合漏洞的POC/EXP情况以及CVSS可利用性指标等因素,我们将漏洞的利用难度分为容易、一般、困难,容易利用的漏洞风险极高。在被分析的1763个项目中,存在容易利用的漏洞的项目有1200个,占比为68.1%,较前两年降幅较大。历年存在各类开源软件漏洞的软件项目的占比情况如下图所示。(3)影响最广的开源软件漏洞的影响范围有所减小从漏洞的影响度来分析,影响范围最大的开源软件漏洞为CVE-2023-35116,存在于
39、33.4%的软件项目中,比去年最高的41.9%有较大减小,说明本年度检测出的开源软件漏洞的影响范围较为分散。2023年影响度排名前10的开源软件漏洞如下表所示。漏洞名称CVE墉号影响项目数影响度FasterXM1.jackson-databind代码问题漏33.4%洞CVE-2023-35116588Goog1.eGuava安全漏洞CVE-2023-29765328.B%SpringFramework安全漏洞CVE-2024-2224347026.7%SpringFramework安全漏洞CVE-2024-2226247026.7%SpringFramework安全漏洞CVE-2024-222
40、5947026.7%FasterXM1.jackson-databind代码问题忘26.1%洞CVE-2022-42003460ApacheHTTP/2资源管理错误漏洞CVE-2023-4448746(26.1%VmwareSpringFrameWork代码问题漏洞CVE-2016-10000274602.1%SpringFramework安全漏洞CVE-2023-2086145826.C%FasterXM1.jackson-databind代码问题海25.9%洞CVE-2022-42004456容易利用的漏洞更易被用来发起攻击,风险极高。影响度排名前10的容易利用的开源软件漏洞情况如下表所示
41、。容易利用的漏洞名称CVE墉号影响项目数影响度.1%VmwareSpringFramework代码问题漏泄CVE-2016-1000(5274()026jQuery跨站脚本漏洞CVE-2020-1102241223.49CjQuery跨站脚本漏洞CVE-2020-1102341223.4?jQuery跨站脚本漏洞CVE-2019-1135840122.796SpringFrameWOrk代玛注入漏洞CVE-2022-2296538421.8%jQuery符站脚本漏洞CVE-2015-925137821.49VmwareSpringFramework安全漏洞CVE-2021-2209634519
42、.6%VmwareSpringFramework安全漏洞CVE-2021-22060344195%OPenSS1.壤冲区错误漏洞CVE-2021-371132S18;ApacheHttpCIient安全漏洞CVE-2020-1395630217.1c,0(4)20多年前的开源软件漏洞仍然存在于多个软件项目中分析发现,与往年报告结果一样,部分软件项目中仍然存在很久之前公开的古老开源软件漏洞,其中,最古老的漏洞是2001年7月12日公开的CVE-2001-1267,距今已23年,这一时间比去年报告中的最古老开源软件漏洞的发布时间还早一年。部分古老开源软件漏洞的影响情况如下表所示,它们的发布时间距今都已超过20年。漏洞名称CVE编号发布日期影哨项目数量Tar敌对目标路径漏洞CVE-2001-12672001-07-1G2.NU1GZip超长文件名媛冲区溢出漏洞CVE-2001-12282001-11-11Qi-ANXiNCooesafeteam8安全漏洞CVE-2002-00592002-03-1Z5ib8tar任意文件覆盖漏洞CVE-2002-12162002-10-2C8NU