開源組件是當(dāng)今許多軟件應(yīng)用程序的基礎(chǔ)，但這使它們在安全性方面受到越來越嚴(yán)格的審查。

開源管理專家WhiteSource發(fā)布了一份新報告，該報告顯示2019年公開的開源軟件漏洞激增至6000多個，增長了近50%。

好消息是，已經(jīng)披露了超過85%的開源漏洞，并且已經(jīng)提供了修復(fù)程序。但是，有關(guān)漏洞的信息并沒有在一個集中的位置發(fā)布，而是分散在數(shù)百種資源中，有時索引編制不正確，這常常使搜索特定數(shù)據(jù)成為一個挑戰(zhàn)。

根據(jù)WhiteSource的數(shù)據(jù)庫，最終在NVD(國家漏洞數(shù)據(jù)庫)之外報告的所有開源漏洞中，只有29%最終發(fā)布在其中。

此外，研究人員比較了2019年報告的開源漏洞時排名前七的編碼語言的堆積方式，然后將這些數(shù)字與過去十年的數(shù)量進行了比較。

由于使用這種語言編寫的大量代碼，C仍然具有最高的漏洞百分比。PHP的相對漏洞數(shù)量已大大增加，而沒有跡象表明流行程度同樣有所提高。盡管Python(尤其是在開源社區(qū)中)的普及率持續(xù)上升，但其漏洞百分比相對較低。

該報告還考慮了CVSS(通用漏洞評分系統(tǒng))分?jǐn)?shù)是否是補救優(yōu)先級的最佳方法。在過去的幾年中，CVSS已進行了多次更新，以期達到可衡量的，客觀的標(biāo)準(zhǔn)，從而為所有組織和行業(yè)提供支持。但是在此過程中，它也改變了高嚴(yán)重性漏洞的定義。這意味著在CVSS v2下被定為7.6的漏洞在CVSS v3.0下可能為9.8，這意味著團隊面臨著更多的高嚴(yán)重性問題?，F(xiàn)在，超過55%的用戶具有高嚴(yán)重性或嚴(yán)重性。

該報告的作者得出以下結(jié)論：

此列表中最重要的一點是，僅因為流行的開源項目具有漏洞，并不意味著它們本身就不安全。

這僅意味著作為開源項目的用戶，您需要了解安全風(fēng)險，并確保保持開源依賴關(guān)系的最新狀態(tài)。

開源組件已成為我們軟件項目不可或缺的一部分。乍一看，開放源代碼漏洞的格局似乎復(fù)雜而富有挑戰(zhàn)性，但是有一些方法可以使人們對組成我們發(fā)布的產(chǎn)品的開放源代碼組件具有可見性并加以控制。