开源组件是当今许多软件应用程序的基础部分,使它们受到越来越多的安全审查。根据开源管理专家WhiteSource最新发布的报告显示,2019年披露的开源软件漏洞数量增至6000多个,增长率接近50%。值得庆幸的是,超过85%的开源漏洞已被披露并提供了相应的修复程序。不幸的是,开源软件漏洞信息不是在一个地方发布的,而是分散在数百个资源中。有时索引没有正确完成,使搜索特定数据成为一项艰巨的挑战。根据WhiteSource的数据库,在国家漏洞数据库(NVD)之外报告的所有开源漏洞中,只有29%最终被注册。此外,研究人员对比了2019年漏洞排名前七的编程语言,再与过去十年的数量进行对比,发现历史基础最好的C语言漏洞占比最高。PHP漏洞的相对数量也大幅增加,但没有迹象表明其受欢迎程度也有类似的增长。虽然Python在开源社区中越来越受欢迎,但它的漏洞百分比仍然相对较低。该报告还考虑了来自通用漏洞评分系统(CVSS)的数据是否是衡量修补优先级的最佳指标。CVSS在过去几年中进行了多次更新,以努力达到支持所有组织和行业的客观可衡量标准。然而,在这个过程中,CVSS也改变了高危漏洞的定义。这意味着在CVSSv2下评级为7.6的漏洞在CVSSv3.0下可能评级为9.8。对于各种开源软件的开发团队来说,这意味着他们面临着更多的高危漏洞问题,导致超过55%的现有用户受到高危或危急问题的困扰。该报告的作者得出结论,列表中提到的开源项目漏洞并不意味着它们天生就不安全。作为用户,您还应该了解相关的安全风险,并确保让您的开源依赖项保持最新。
