WhiteSource对650多名开发者进行了调查,从NVD(国家漏洞数据库)、安全公告、同行-审核漏洞库,问题跟踪程序和其他渠道收集数据后,整理并发布研究报告。报告显示,2019年公开披露的开源软件漏洞数量激增至6000多个,同比增长近50%。值得庆幸的是,其中85%的漏洞已被披露并提供了相应的修复程序。不过,该报告也指出,不幸的是,只有84%的已知开源漏洞最终出现在NVD中。有关漏洞的信息不会发布在一个地方,而是分散在数百个资源中。因此,当某些内容未正确编制索引时,搜索特定数据会变得更加困难。并且45%的已报告开源漏洞最初并未报告给NVD,许多漏洞是在其他渠道报告数月后才在NVD上发布的。在NVD之外报告的所有开源漏洞中,只有29%最终被注册。此外,研究人员还比较了2019年最脆弱的七种编程语言,并将它们与过去十年的数量进行了比较。结果发现,在这些语言中,历史基础最好的C,漏洞比例最高。PHP中漏洞的相对数量也大幅增加,但没有迹象表明流行程度有类似的增加。至于Python,虽然该语言在开源社区中的流行度持续上升,但其漏洞百分比仍然相对较低。另一方面,该报告还考虑了来自通用漏洞评分系统(CVSS)的数据是否是确定陷阱优先级的最佳指标。CVSS在过去几年中进行了多次更新,以达到支持所有组织和行业的客观可衡量标准。然而,在此过程中,它也改变了高危漏洞的定义。例如,这意味着之前在CVSSv2下评级为7.6的漏洞在CVSSv3.0下可能评级为9.8,这意味着团队将面临更多的高严重性问题。超过55%的用户现在遇到严重或严重的问题。报告预测,2020年,开源软件漏洞数量将持续增长。然而与此同时,一些开源安全系统的计划正在推进。最后,该报告的作者还总结道,“最重要的一点是,仅仅因为列表中提到的开源项目存在漏洞并不意味着它们不安全。它只是意味着作为开源项目的用户,你需要了解安全风险,并确保让您的开源依赖项保持最新。”
