WhiteSource 通過對 650 多個開發(fā)人員進行了調查，并從 NVD(Nartional Vulnerability Database)、安全公告、經過同行評審的漏洞數據庫、問題跟蹤程序等渠道收集了數據之后，整理發(fā)布了一份研究報告。該報告顯示，2019 年公開的開源軟件漏洞數已激增至 6000 多個，同比增長了近 50%。

　　值得慶幸的是，其中有 85% 的漏洞已被披露，并提供了相應的修復程序。

　　不過報告也指出，遺憾的是，最終只有 84% 的已知開源漏洞出現(xiàn)在 NVD 中。且有關漏洞的信息并沒有集中在一個位置發(fā)布，而是分散在數百種資源中。因此，一旦出現(xiàn)索引編制不正確的狀況時，就會使得搜索特定數據變得愈發(fā)艱難。

　　而報告的開源漏洞也中有 45% 并未是最初就報告給 NVD 的，許多漏洞是在其他渠道中被報告數月后才在 NVD 中發(fā)布。在 NVD 之外報告的所有開源漏洞中，也只有 29% 最終被登記在冊。

　　此外，研究人員還對 2019 年漏洞排名前七的編程語言進行了比較，并將其與過去十年的數量進行了比較。結果發(fā)現(xiàn)，在這幾種語言中，歷史基礎最好的C 語言占有最高的漏洞百分比。PHP 的相對漏洞數量也在大幅增加，但沒有跡象表明其流行度有同樣的提升。而 Python 方面，盡管該語言在開源社區(qū)中的普及率在持續(xù)上升，但其漏洞百分比仍相對較低。

　　另一方面， 該報告還考慮了通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System，CVSS)的數據是否是衡量補漏優(yōu)先級的最佳標準。CVSS 在過去的幾年中已進行了多次更新，以期達到為可對所有組織和行業(yè)提供支持的客觀可衡量標準。然而在此過程中，它也改變了高嚴重性漏洞的定義。舉例來說就是，此舉意味著此前在 CVSS v2 下被定為 7.6 的漏洞，在 CVSS v3.0 標準下就可能被定為 9.8，這也意味著團隊會面臨著更多的高嚴重性問題?，F(xiàn)在，已有超過 55% 的用戶具有高嚴重性或嚴重性問題。

　　報告預測，在 2020 年，開源軟件漏洞的數量還會持續(xù)增長。不過與此同時，一些針對開源安全系統(tǒng)的計劃也在不斷推進。

　　最后，報告作者也總結稱，“最重要的一點是，列表中提及的開源項目具有漏洞并不意味著它們就不安全。這僅意味著作為開源項目的用戶，您需要了解安全風險，并確保保持開源依賴關系的最新狀態(tài)。”

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內處理完畢。