2020年中國開源生態(tài)安全概況分析：開源組件生態(tài)中的漏洞數(shù)呈上漲趨勢[圖]

    開源組件生態(tài)蓬勃發(fā)展，重要原因是組件獨立、可復(fù)用。組件化可以大幅度提高開發(fā)效率、可測試性、可復(fù)用性、提升應(yīng)用性能。

    一、開源組件生態(tài)安全風(fēng)險分析

    近年來，開源組件生態(tài)中的漏洞數(shù)呈上漲趨勢，截至2020年，開源組件生態(tài)漏洞數(shù)3426個，較上年增加981個，同比增長40.12%。

2015-2020年開源組件生態(tài)漏洞分布

資料來源：國家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2015-2020年，組件漏洞數(shù)量最多是Maven倉庫，漏洞數(shù)量為3533個；npm倉庫漏洞數(shù)量為2507個；Composer倉庫漏洞數(shù)量為1552個；Go倉庫漏洞數(shù)量最少，漏洞數(shù)量為348個；平均每個倉庫漏洞數(shù)量為 1413 個。

2015-2020年各組件倉庫漏洞情況

資料來源：國家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2020年新增漏洞中，高危漏洞數(shù)量最高，數(shù)量為1826 個，占比53.3%；超危漏洞逐年遞增，數(shù)量下降至220個，占比6.42%；中危漏洞呈現(xiàn)平穩(wěn)增長趨勢，數(shù)量為1235個，占比36.05%；低危漏洞逐年遞增，數(shù)量為145個，占比4.23%。

2015-2020年新增漏洞風(fēng)險等級分布

資料來源：國家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    相關(guān)報告：智班咨詢發(fā)布的《2021-2027年中國信息安全行業(yè)市場發(fā)展模式及戰(zhàn)略咨詢研究報告》

    2020年，Rubygems倉庫含高危以上漏洞數(shù)最多，數(shù)量為756個，占Rubygems倉庫新增漏洞的96.06%；Go倉庫含高危以上漏洞數(shù)最少，數(shù)量為79個，占Go倉庫新增漏洞的38.73%。

2020年各倉庫中含高危以上漏洞數(shù)量

資料來源：國家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2020年各倉庫新增漏洞，平均版本漏洞數(shù)量最多的是TOP25組件，其中，Composer倉庫的組件數(shù)最多，組件數(shù)12個，占比約 5 成左右；PyPI倉庫的組件數(shù)排名第二，組件數(shù)7個。

平均版本漏洞最多TOP25組件倉庫分布

資料來源：國家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    二、開源安全風(fēng)險建議

    開源生態(tài)帶來的正面效應(yīng)已在信息經(jīng)濟生活中發(fā)揮重要影響，如何在安全可控的情況下使用開源，已成為開源生態(tài)的關(guān)鍵任務(wù)。開源安全風(fēng)險防范措施應(yīng)貫穿軟件開發(fā)的整個生命周期。

開源安全風(fēng)險建議

資料來源：智研咨詢整理