報告下載:新增199IT微信公眾號【i199it】,回覆關鍵詞【2021年開源軟體供應鏈安全風險研究報告】即可
根據調查結果,相比 2015 年漏洞資料,近 5 年的漏洞數量均有不同程度增長。2018 年是開源專案快速增長的一年,根據 GitHub 官方資料顯示,GitHub 程式碼倉庫中超過 1/3 的開源專案建立於 2018 年,2018 年新增開源漏洞數也創下近 6 年新高,新增 7563 個漏洞,相較於 2015 年翻了 2.85 倍;2017 年漏洞增長速度最快,環比增長率為 92.86%;2019 年與 2020 年增長率略有下降,2020 年釋出的漏洞數較 2019 年釋出漏洞數少了 1746 條。
根據對 CVE 官方網站的統計,2020 年釋出的開源漏洞中未被 CVE 官方收錄漏洞有 1362 個,佔 2020 年釋出漏洞總數的 23.78%;CVE 官方未收錄資料呈上長趨勢,增長率逐年遞增,2018 年環比 2017 年增長速度達 133.52%。
2020 年釋出的開源漏洞中,編號為 CVE-2009-4067 的 Linux 核心的 Auerswald Linux USB 驅動程式的緩衝區溢位漏洞由 POC 披露到 NVD 首次公開時間長達 11 年。
開源軟體的使用者僅關注官方漏洞庫(如 NVD 等)可能無法及時獲取漏洞資訊,需綜合考慮更多渠道的漏洞資料。
根據調查結果,近 6 年開源元件生態中漏洞數逐年遞增。其中,2020 年新增漏洞數為 3426,環比去年增長 40%;2017 年增長速度最快,環比增長 49%;近 3 年增長速度呈上升趨勢,2020 年新增漏洞數是 2015 年的 4.48 倍。
報告下載:新增199IT微信公眾號【i199it】,回覆關鍵詞【2021年開源軟體供應鏈安全風險研究報告】即可