超8成项目存在高危开源漏洞 《2021中国软件供应链安全分析报告》发布

源代码是软件的原始形态，位于软件供应链的源头。源代码安全是软件供应链安全的基础，其地位非常关键和重要。

2020年全年，奇安信代码安全实验室对2001个国内企业自主开发的软件项目源代码进行了安全缺陷检测，检测的代码总量为335011173行，共发现安全缺陷3387642个，其中高危缺陷361812个，整体缺陷密度为10.11个/千行，高危缺陷密度为1.08个/千行。

1、编程语言分布情况

在被检测的2001个国内企业自主开发的软件项目中，使用数量排名前3的编程语言为Java、PHP、C/C++，对应的软件项目数量分别为1492个、204个和97个。可以看出，相关国内企业在进行软件开发时的首选语言是Java语言，占比高达75%。编程语言的总体分布情况如下图所示。

2、典型安全缺陷检出情况

输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。

典型安全缺陷的检出率可以体现出软件源代码的基本安全状况（检出率指含有某类缺陷的软件项目数占软件项目总数的比例）。在被检测的2001个软件项目中，十类典型安全缺陷的总体检出率为77.8%，每类典型缺陷的检出率及排名如下表所示。

Gartner表示，现代软件大多数是被“组装”出来的，不是被“开发”出来的。根据知名研究机构Forrester统计，软件开发中，80～90%的代码来自于开源软件。因此，现代软件的源代码绝大多数是混源代码，由企业自主开发的源代码和开源软件代码共同组成。开源软件是现代软件开发最基础的原材料，与企业自主开发的源代码所处的软件供应链环节相同，也位于软件供应链的源头，其代码自身的安全状况，会直接影响最终软件的安全性。

报告从开源软件生态发展状况、开源软件源代码安全状况、开源软件公开报告漏洞状况、开源软件活跃度状况等四个方面对2020年开源软件生态发展与安全状况进行综合分析。

1、开源软件生态发展状况分析

据奇安信代码安全实验室监测和统计，2019年底和2020年底，主流开源软件包生态系统中开源项目总量分别为2841314个和3814194个，一年间增长了34.2%；截至2020年底，主流开源软件包生态系统中平均每个开源项目有10.2个版本。可以看出，2020年开源软件生态更加繁荣，整体发展非常迅猛。

本报告中对八个典型的开源软件包生态系统进行了进一步的分析和比较，这八个包生态系统为Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、Swift，具体分析如下。

NPM包生态项目数量最多，Godoc包生态增速最快。八个典型的开源软件包生态系统中开源项目数量和增长率情况如下图所示，其中开源项目数量最多的是NPM包生态系统，截至2020年底，其开源项目数量达到了1559835个；开源项目数量增速最快的是Godoc包生态系统，2020年一年间的项目总量增速达到了36.2%。

Maven、Nuget、NPM包生态系统的开源项目开发者比较“勤奋”，开源项目的平均版本数超过11个。截至2020年底，八个典型的开源软件包生态系统的开源项目数量和版本数量如下表所示。其中，Maven包生态系统平均每个开源项目有18.0个版本，Nuget包生态系统平均每个开源项目有11.7个版本，NPM包生态系统平均每个开源项目有11.0个版本。

2、开源软件源代码安全状况分析

奇安信代码安全实验室于2015年初发起了“奇安信开源项目检测计划”，该计划是一项针对开源软件项目的公益性安全检测计划，旨在让广大开发者关注和了解开源软件的安全问题，提高软件安全开发意识和技能。

2020年全年,“奇安信开源项目检测计划”对1364个开源软件项目的源代码进行了安全检测，代码总量为124296804行，共发现安全缺陷1859129个，其中高危缺陷117738个。2020年检测的1364个开源软件项目整体缺陷密度为14.96个/千行，高危缺陷密度为0.95个/千行。

（1）编程语言分布情况

2020年检测的1364个开源项目中，一共涉及到7种编程语言，分别是Java、C/C++、Python、OC、Go、JavaScript、PHP，编程语言的分布情况如下图所示。

（2）典型安全缺陷检出情况

输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。

典型安全缺陷的检出率可以体现出软件源代码的基本安全状况（检出率指含有某类缺陷的软件项目数占软件项目总数的比例）。在2020年检测的1364个开源软件项目中，十类典型安全缺陷的总体检出率为56.3%，每类典型缺陷的检出率及排名如下表所示。

3、开源软件公开报告漏洞状况分析

据奇安信代码安全实验室监测与统计，截至2020年底，CVE/NVD、CNNVD、CNVD等公开漏洞库中共收录开源软件相关漏洞41342个，其中5366个为2020年度新增漏洞。

（1）大型开源项目漏洞总数及年度增长TOP20

截至2020年底，历史漏洞总数排名前20的大型开源项目信息如下表所示。

2020年一年间，公开报告漏洞数量增长排名前20的大型开源项目信息如下表所示。

（2）主流开源软件包生态系统漏洞总数及年度增长TOP20

截至2020年底，主流开源软件包生态系统中历史漏洞总数排名前20的开源软件信息如下表所示。

2020年一年间，主流开源软件包生态系统中公开报告漏洞数量增长排名前20的开源软件信息如下表所示。

4、开源软件活跃度状况分析

活跃度也是衡量开源软件安全性的一个重要维度。不活跃的开源软件，无论是更新频率很低，或者被废弃，一旦出现安全漏洞，难以得到及时的修复，安全风险很高；活跃的开源软件中，如果其版本更新发布的频率过高，同样会增加使用者运维的成本和安全风险。在选择使用开源软件时，应该充分考虑这两个因素。

本报告中分析了2020年主流开源软件包生态系统中开源软件的版本更新情况，可以一定程度上体现当前开源软件活跃度的整体状况。

（1）61.6%的开源软件项目处于不活跃状态

我们将一年内未更新发布过版本的开源软件项目定义为不活跃项目。2020年全年，主流开源软件包生态系统中不活跃的开源软件项目数量为2347794个，占比达到61.6%。

本报告中对八个典型的开源软件包生态系统进行了进一步的分析和比较，这八个包生态系统为Maven、NPM、Packagist、Pypi、Godoc、Nuget、Rubygems、Swift，其中NPM的不活跃项目数量最多，达到1018533个，Rubygems的不活跃项目比例最高，占比达到86.5%，具体数据见下表。

（2）13000多个开源软件一年内更新发布超过100个版本

2020年全年，主流开源软件包生态系统中，更新发布100个以上版本的开源项目有13411个。前述八个典型的开源软件包生态系统中，一年内更新发布超过100个版本的项目数量见下表。