開(kāi)源組件已成為當(dāng)今許多軟件應(yīng)用程序的基礎(chǔ)組成部分，這也使得其在安全性方面受到越來(lái)越嚴(yán)格的審查。根據(jù)開(kāi)源管理專家 WhiteSource 發(fā)布的一份新報(bào)告，可知 2019 年公開(kāi)的開(kāi)源軟件漏洞數(shù)增加到了 6000 多個(gè)，增速接近 50% 。慶幸的是，有超過(guò) 85% 的開(kāi)源漏洞已被披露，且提供了相應(yīng)的修復(fù)程序。

[[318634]]

遺憾的是，開(kāi)源軟件的漏洞信息并沒(méi)有集中在一處發(fā)布，而是分散在數(shù)百種資源中。有時(shí)索引的編制并不正確，導(dǎo)致搜索特定數(shù)據(jù)成為了一項(xiàng)艱巨的挑戰(zhàn)。

根據(jù) WhiteSource 的數(shù)據(jù)庫(kù)，在國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)之外報(bào)告的所有開(kāi)源漏洞中，只有 29% 最終被登記在冊(cè)。

此外研究人員比較了 2019 年漏洞排名前七的編程語(yǔ)言，然后將之與過(guò)去十年的數(shù)量進(jìn)行了比較，結(jié)果發(fā)現(xiàn)歷史基礎(chǔ)最好的 C 語(yǔ)言占有最高的漏洞百分比。PHP 的相對(duì)漏洞數(shù)量也大幅增加，但沒(méi)有跡象表明其流行度有同樣的提升。盡管 Python 在開(kāi)源社區(qū)中的普及率持續(xù)上升，但其漏洞百分比仍相對(duì)較低。

報(bào)告還考慮了通用漏洞評(píng)分系統(tǒng)(CVSS)的數(shù)據(jù)，是否是衡量補(bǔ)漏優(yōu)先級(jí)的最佳標(biāo)準(zhǔn)。

過(guò)去幾年中，CVSS 已進(jìn)行了多次更新，以期達(dá)成為可對(duì)所有組織和行業(yè)提供支持的客觀可衡量標(biāo)準(zhǔn)。

然而在此過(guò)程中，CVSS 也改變了高嚴(yán)重性漏洞的定義。這意味著在 CVSS v2 標(biāo)準(zhǔn)下被定為 7.6 的漏洞，在 CVSS v3.0 標(biāo)準(zhǔn)下可能被評(píng)為 9.8 。對(duì)于各個(gè)開(kāi)源軟件的開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，這意味著他們面臨著更多的高嚴(yán)重性漏洞問(wèn)題，導(dǎo)致現(xiàn)有超有 55% 的用戶被高嚴(yán)重性或嚴(yán)重性問(wèn)題所困擾。

報(bào)道作者總結(jié)道：列表中提及的開(kāi)源項(xiàng)目漏洞，并不意味著其本質(zhì)上是不安全的。作為用戶，也應(yīng)了解相關(guān)安全風(fēng)險(xiǎn)，并確保將開(kāi)源依賴保持在最新?tīng)顟B(tài)。