2019 年開(kāi)源軟件漏洞增長(cháng)近 50％，C 語(yǔ)言漏洞最多

WhiteSource 通過(guò)對 650 多個(gè)開(kāi)發(fā)人員進(jìn)行了調查，并從 NVD(Nartional Vulnerability Database)、安全公告、經(jīng)過(guò)同行評審的漏洞數據庫、問(wèn)題跟蹤程序等渠道收集了數據之后，整理發(fā)布了一份研究報告。該報告顯示，2019 年公開(kāi)的開(kāi)源軟件漏洞數已激增至 6000 多個(gè)，同比增長(cháng)了近 50%。

值得慶幸的是，其中有 85% 的漏洞已被披露，并提供了相應的修復程序。

不過(guò)報告也指出，遺憾的是，最終只有 84% 的已知開(kāi)源漏洞出現在 NVD 中。且有關(guān)漏洞的信息并沒(méi)有集中在一個(gè)位置發(fā)布，而是分散在數百種資源中。因此，一旦出現索引編制不正確的狀況時(shí)，就會(huì )使得搜索特定數據變得愈發(fā)艱難。

而報告的開(kāi)源漏洞也中有 45% 并未是最初就報告給 NVD 的，許多漏洞是在其他渠道中被報告數月后才在 NVD 中發(fā)布。在 NVD 之外報告的所有開(kāi)源漏洞中，也只有 29% 最終被登記在冊。

此外，研究人員還對 2019  年漏洞排名前七的編程語(yǔ)言進(jìn)行了比較，并將其與過(guò)去十年的數量進(jìn)行了比較。結果發(fā)現，在這幾種語(yǔ)言中，歷史基礎最好的 C 語(yǔ)言占有最高的漏洞百分比。PHP 的相對漏洞數量也在大幅增加，但沒(méi)有跡象表明其流行度有同樣的提升。而 Python 方面，盡管該語(yǔ)言在開(kāi)源社區中的普及率在持續上升，但其漏洞百分比仍相對較低。

另一方面， 該報告還考慮了通用漏洞評分系統(Common Vulnerability Scoring System，CVSS)的數據是否是衡量補漏優(yōu)先級的最佳標準。 CVSS 在過(guò)去的幾年中已進(jìn)行了多次更新，以期達到為可對所有組織和行業(yè)提供支持的客觀(guān)可衡量標準。然而在此過(guò)程中，它也改變了高嚴重性漏洞的定義。舉例來(lái)說(shuō)就是，此舉意味著(zhù)此前在 CVSS v2 下被定為 7.6 的漏洞，在 CVSS v3.0 標準下就可能被定為 9.8，這也意味著(zhù)團隊會(huì )面臨著(zhù)更多的高嚴重性問(wèn)題?，F在，已有超過(guò) 55% 的用戶(hù)具有高嚴重性或嚴重性問(wèn)題。

報告預測，在 2020 年，開(kāi)源軟件漏洞的數量還會(huì )持續增長(cháng)。不過(guò)與此同時(shí)，一些針對開(kāi)源安全系統的計劃也在不斷推進(jìn)。

最后，報告作者也總結稱(chēng)，“最重要的一點(diǎn)是，列表中提及的開(kāi)源項目具有漏洞并不意味著(zhù)它們就不安全。這僅意味著(zhù)作為開(kāi)源項目的用戶(hù)，您需要了解安全風(fēng)險，并確保保持開(kāi)源依賴(lài)關(guān)系的最新?tīng)顟B(tài)?！?/p>

完整報告地址：https：//resources.whitesourcesoftware.com/research-reports/the-state-of-open-source-vulnerabilties-2020

發(fā)布者：水橋丶帕露西