開源組件是當(dāng)今許多軟件應(yīng)用程序的基礎(chǔ)，但這使它們?cè)诎踩苑矫媸艿皆絹碓絿?yán)格的審查。

開源管理專家WhiteSource發(fā)布了一份新報(bào)告，該報(bào)告顯示2019年公開的開源軟件漏洞激增至6000多個(gè)，增長(zhǎng)了近50%。

好消息是，已經(jīng)披露了超過85%的開源漏洞，并且已經(jīng)提供了修復(fù)程序。但是，有關(guān)漏洞的信息并沒有在一個(gè)集中的位置發(fā)布，而是分散在數(shù)百種資源中，有時(shí)索引編制不正確，這常常使搜索特定數(shù)據(jù)成為一個(gè)挑戰(zhàn)。

根據(jù)WhiteSource的數(shù)據(jù)庫，最終在NVD(國(guó)家漏洞數(shù)據(jù)庫)之外報(bào)告的所有開源漏洞中，只有29%最終發(fā)布在其中。

此外，研究人員比較了2019年報(bào)告的開源漏洞時(shí)排名前七的編碼語言的堆積方式，然后將這些數(shù)字與過去十年的數(shù)量進(jìn)行了比較。

由于使用這種語言編寫的大量代碼，C仍然具有最高的漏洞百分比。PHP的相對(duì)漏洞數(shù)量已大大增加，而沒有跡象表明流行程度同樣有所提高。盡管Python(尤其是在開源社區(qū)中)的普及率持續(xù)上升，但其漏洞百分比相對(duì)較低。

該報(bào)告還考慮了CVSS(通用漏洞評(píng)分系統(tǒng))分?jǐn)?shù)是否是補(bǔ)救優(yōu)先級(jí)的最佳方法。在過去的幾年中，CVSS已進(jìn)行了多次更新，以期達(dá)到可衡量的，客觀的標(biāo)準(zhǔn)，從而為所有組織和行業(yè)提供支持。但是在此過程中，它也改變了高嚴(yán)重性漏洞的定義。這意味著在CVSS v2下被定為7.6的漏洞在CVSS v3.0下可能為9.8，這意味著團(tuán)隊(duì)面臨著更多的高嚴(yán)重性問題?，F(xiàn)在，超過55%的用戶具有高嚴(yán)重性或嚴(yán)重性。

該報(bào)告的作者得出以下結(jié)論：

此列表中最重要的一點(diǎn)是，僅因?yàn)榱餍械拈_源項(xiàng)目具有漏洞，并不意味著它們本身就不安全。

這僅意味著作為開源項(xiàng)目的用戶，您需要了解安全風(fēng)險(xiǎn)，并確保保持開源依賴關(guān)系的最新狀態(tài)。

開源組件已成為我們軟件項(xiàng)目不可或缺的一部分。乍一看，開放源代碼漏洞的格局似乎復(fù)雜而富有挑戰(zhàn)性，但是有一些方法可以使人們對(duì)組成我們發(fā)布的產(chǎn)品的開放源代碼組件具有可見性并加以控制。