新思科技《2022 年开源安全和风险分析》报告分析解读第二篇——漏洞与安全部分
目录
漏洞与安全
代码库中的漏洞
脆弱性组件(新增内容)
Apache Log4j2漏洞(新增内容)
移动应用程序安全(减少内容)
各行业开源漏洞
前十大漏洞
随着整个社会加速数字化、网络化、智能化,开源已经成为势不可挡的趋势,驱动云计算、大数据、人工智能等技术和产业的进步。而随着开源产业繁荣兴起,开源的安全问题也备受关注。
今年4月,新思科技发布了《2022年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,共调查了17个行业的2400多个商业代码库的匿名结果。报告共包含六个部分:简介;概述;开源漏洞与安全;许可;开源的维护;总结。下文将从以上六个部分出发,对2022与2021年度报告进行对比分析。
漏洞与安全
2021年,新思审计服务团队共进行了2409次审计。 在这些审计中,13%(312人)选择退出安全和运营风险评估,因此,2022年OSSRA报告的开源漏洞和安全以及开源维护部分中的数据是基于包括风险评估的2097个代码库。 2021年度报告中的漏洞与安全部分的数据是基于2020年被审计的1549个代码库。
代码库中的漏洞
代码库中的漏洞。通过两年的比较分析可以看出,2022年报告中,所扫描的2097个代码库中包含至少一个已知的开源漏洞的占比为81%,较2021年的调查结果下降了3%。 2022年,包含至少一个高风险开源漏洞的占比显著减少,为49%,而去年这个比例是60%,见图3。(其变化的原因报告中并未提及)
脆弱性组件(新增内容)
脆弱组件的风险得到广泛的关注。2022年报告中新增对于脆弱组件的分析,此内容在2021年的报告中并未提及。从数据可以看出,jQuery的占比最高,为43%,PHP的占比最低,见图3。中国国家信息安全漏洞库在《CNNVD漏洞分级规范》中对于脆弱性组件(vulnerable component)的定义为:脆弱性组件指包含漏洞的组件,通常是软件应用、软件模块、驱动、甚至硬件设备等。攻击者通过利用脆弱性组件中的漏洞来发动攻击。
Apache Log4j2漏洞(新增内容)
2021年末爆出的该漏洞,迅速成为行业热点,也加速了监管部门以及企业对于开源软件安全的重视。2022年报告也对此漏洞的分析给予了一个版面的介绍。报告显示,包含易受攻击的 Log4j 组件的已审核 Java 代码库的百分比为14%。开源本身并不会带来业务风险,而管理不善或者不进行管理才会引发安全风险,消除业务风险的第一步应对企业使用的所有软件进行全面清点,只有通过这个完整的清单(称为软件物料清单 (SBOM)),团队才能确定软件资产使用了哪些组件。可以采用软件成分分析工具(SCA)梳理软件资产,并制定计划来解决Log4Shell等新安全披露带来的风险。
移动应用程序安全(减少内容)
2021年报告中对于移动应用程序安全现状进行了一个版面的介绍,其内容主要说明了两点:第一点,新思SCA工具可以对应用程序的已编译的二进制文件进行漏洞扫描;第二点,2021年OSSRA的结果与CyRC2021年“疫情中的安全隐患:移动应用程序安全现状”报告的结果相一致,被审计的应用程序中的开源代码漏洞数量有所增加。
2022年OSSRA未对移动应用程序安全进行相关介绍。既新思发布2021年“疫情中的安全隐患:移动应用程序安全现状”报告后,2022年并未发布相似内容的年度报告,截至2022年5月7日。
各行业开源漏洞
2022年与2021年报告均对相同的17个行业包含开源漏洞的代码库占比进行了分析。由于两个年度的报告中都没有将2020年17个行业包含开源漏洞的代码库占比数据进行准确展示,因此2020年分析数据的主要来源为原报告年度趋势图的估测结果,报告原图,见图5、图6。
由于2022年报告中的数据为2021年的统计数据;2021年报告中的数据为2020年的统计数据,因此下述的内容,我们将按照原报告的表述方式来进行分析,表述为2021年统计数据与2020年统计数据。
报告中的问题。2020年物联网行业包含开源漏洞的代码库占比,这一指标在两份报告中的数值差异较大,从图5可以看出,其在2022年报告中的数值为低于40%(红色趋势线);从图6可以看出,其在2021年报告中的数值在60%~80%之间。其不同的数值直接影响到2020年统计数据中包含开源漏洞的代码库占比最低的三个行业的结果,2021年报告中,显示占比最低的三个行业为:制造业、工业和机器人;互联网和移动APP;互联网和软件基础架构。2022年报告中,显示占比最低的三个行业为:制造业、工业和机器人;物联网;互联网和移动APP
17个行业的变化趋势。2021年17个行业的统计数据,有10个行业包含开源漏洞的代码库占比相较于2020年统计数据出现了下降,6个行业包含开源漏洞的代码库占比相较于2020年统计数据出现了上升。有一个行业物联网行业其变化情况不确定,由于其在两个年度报告中的数据差距较大。2021年的统计数据中包含开源漏洞的代码库最高的三个的行业有:物联网;航空航天、汽车、运输和物流;互联网和移动APP。最低的三个行业为:网络安全;电信和无线;互联网和软件基础架构。2020年的统计数据中包含开源漏洞的代码库占比最高的三个行业有:营销科技;能源与清洁科技;零售与电子商务。具体数据见表3
表3 2021年与2020年数据-包含开源漏洞的代码库占比变化表
| 序号 |
行业 |
包含开源漏洞的代码库占比 |
|||
| 2021(%) |
2020(%) |
变化趋势 |
|||
| 1 |
物联网 |
64 |
60%~80%(2021年报告) |
不确定 |
图例 |
| 2 |
航空航天、汽车、运输和物流 |
60 |
≈59 |
上升 |
|
| 3 |
互联网和移动APP |
56 |
≈28 |
上升 |
最高三位 |
| 4 |
教育科技 |
54 |
≈53 |
上升 |
|
| 5 |
能源与清洁科技 |
53 |
≈79 |
下降 |
|
| 6 |
营销科技 |
53 |
95 |
下降 |
|
| 7 |
金融服务和金融科技 |
53 |
≈62 |
下降 |
最低三位 |
| 8 |
零售与电子商务 |
51 |
71 |
下降 |
|
| 9 |
制造业、工业和机器人 |
51 |
≈21 |
上升 |
|
| 10 |
企业软件/saas |
50 |
≈62 |
下降 |
|
| 11 |
虚拟现实、游戏娱乐和媒体 |
46 |
≈55 |
下降 |
|
| 12 |
医疗保健、健康科技和生命科学 |
45 |
≈68 |
下降 |
|
| 13 |
计算机硬件及半导体 |
43 |
≈42 |
上升 |
|
| 14 |
大数据、AI、BI和机器学习 |
42 |
≈58 |
下降 |
|
| 15 |
互联网和软件基础架构 |
41 |
≈35 |
上升 |
|
| 16 |
电信和无线 |
41 |
≈57 |
下降 |
|
| 17 |
网络安全 |
38 |
≈57 |
下降 |
|
数据来源:新思2022、2021年度OSSRA
注:
2022年报告中的数据为2021年的统计数据;2021年报告中的数据为2020年的统计数据。
2020年占比最低的3个行业按照2020年统计数据进行了标注。
2020年数据估值来源于2021年报告各行业包含开源漏洞的代码库占比圆环图。
前十大漏洞
两个年度报告均对前十大漏洞进行了分析,2022年度报告中对于十大漏洞的分析是基于2021年对于2097个代码库的审计结果,2021年度报告是基于1549个代码库的审计结果。分析内容主要侧重于以下两点:前十大CVE/BDSA在代码库的占比情况;前十大高风险CVE/BDSA在代码库占比情况。
2021年统计数据前十大CVE/BDSA和2020年统计数据前十大CVE/BDSA变化分析。两个年度前十大CVE/BDSA相同的有5个,分别是:BDSA-2020-0964 (CVE-2020-11023);BDSA-2020-0955 (CVE-2020-11022);BDSA-2019-1138 (CVE-2019-11358);BDSA-2017-2930 (CVE-2015-9251);BDSA-2014-0063。新增漏洞5个,分别是:BDSA-2020-0686 (CVE-2020-0187);BDSA-2015-0567;BDSA-2020-3839;BDSA-2020-1674 (CVE-2020-8203);BDSA-2021-0375 (CVE-2020-28500)。
部分漏洞在代码库中的占比存在增长。2020年统计数据中有37%的代码库存在CVE-2020-11023和CVE-2020-11022。今年两者的比例都上升到了43%。2021年有三个漏洞的在代码库中的占比出现了下降,分别是:BDSA-2019-1138 (CVE-2019-11358)下降8%;BDSA-2017-2930 (CVE-2015-9251) 下降8%;BDSA-2014-0063下降9%。见下表4。
表4 存在前十大CVE/BDSA的代码库占比情况表
| 序号 |
存在前十大CVE/BDSA的代码库占比 |
||||
| 漏洞名称 |
2021(%) |
漏洞名称 |
2020(%) |
||
| 1 |
BDSA-2020-0686 |
43 |
BDSA-2019-1138 (CVE-2019-11358) |
49 |
|
| 2 |
BDSA-2020-0964 |
43 |
BDSA-2017-2930 (CVE-2015-9251) |
46 |
图例 |
| 3 |
BDSA-2020-0955 |
43 |
BDSA-2014-0063 |
46 |
增长漏洞 |
| 4 |
BDSA-2019-1138 |
41 |
BDSA-2015-0567 |
41 |
减少漏洞 |
| 5 |
BDSA-2017-2930 |
38 |
BDSA-2020-0964 (CVE-2020-11023) |
37 |
|
| 6 |
BDSA-2014-0063 |
37 |
BDSA-2020-0955 (CVE-2020-11022) |
37 |
|
| 7 |
BDSA-2015-0567 |
34 |
CVE-2019-1010266 |
≈33 |
|
| 8 |
BDSA-2020-3839 |
32 |
CVE-2019-10744 |
29 |
|
| 9 |
BDSA-2020-1674 |
30 |
CVE-2018-16487 |
≈29 |
|
| 10 |
BDSA-2021-0375 |
30 |
CVE-2018-3721 |
≈29 |
|
数据来源:新思2022、2021、2020年度OSSRA
注:估值部分来源于2021年报告2020年具有前十大CVE/BDSA的代码库占比趋势图
2021年统计数据中被审计代码库中出现的高风险CVE/BDSAs的数量较2020年的统计结果有了很大的改善。 去年最大的漏洞CVE-2019-10744出现在29%的代码库中。 今年,最普遍的高风险漏洞CVE-2020-7788只在8%的代码库中被发现。所有重复发生的高 风险漏洞显著减少。
两个年度的前十大高风险CVE/BDSA,相同的漏洞有6个,2021年统计数据中,6个相同漏洞在代码库中的占比相较于2020年统计数据均呈现下降趋势。6个相同漏洞分别是:BDSA-2018-4597 (CVE-2018-14719);CVE-2018-1000613;BDSA-2015-0753 (CVE-2015-6420);BDSA-2015-0001 (CVE-2015-7501);CVE-2020-8022;CVE-2019-10744。
表5 存在前十大高危漏洞CVE/BDSA的代码库占比情况表
| 序号 |
存在前十大高危漏洞CVE/BDSA的代码库占比 |
||||
| 漏洞名称 |
2021 |
漏洞名称 |
2020(估值) |
||
| 1 |
CVE-2020-7788 |
8% |
CVE-2019-10744 |
20%-30% |
|
| 2 |
BDSA-2018-4597 (CVE-2018-14719) |
6% |
BDSA-2018-4597 (CVE-2018-14719) |
5%-10% |
|
| 3 |
CVE-2018-1000613 |
5% |
CVE-2018-16487 |
5%-10% |
图例 |
| 4 |
BDSA-2015-0753 (CVE-2015-6420) |
5% |
BDSA-2015-0001 (CVE-2015-7501) |
5%-10% |
相同漏洞 |
| 5 |
BDSA-2015-0001 (CVE-2015-7501) |
5% |
BDSA-2015-0753 (CVE-2015-6420) |
5%-10% |
|
| 6 |
CVE-2020-8022 |
4% |
CVE-2018-1000613 |
3%-8% |
|
| 7 |
CVE-2019-10744 |
4% |
CVE-2015-5652 |
<5% |
|
| 8 |
CVE-2017-9224 |
<1% |
CVE-2020-8022 |
<5% |
|
| 9 |
CVE-2017-9225 |
<1% |
CVE-2017-1000487 |
<5% |
|
| 10 |
CVE-2017-9226 |
<1% |
CVE-2020-7598 |
<5% |
|
来源:新思2022、2021年度OSSRA 报告
注:2020年数据估值来源于2021年报告具有前十大高风险CVE/BDSA的代码库占比趋势图
预告预告:
下一篇是许可证呦~
求赞啊求赞啊
码字的最大动力 ——赞~