2020年中國(guó)開(kāi)源生態(tài)安全概況分析：開(kāi)源組件生態(tài)中的漏洞數(shù)呈上漲趨勢(shì)[圖]

    開(kāi)源組件生態(tài)蓬勃發(fā)展，重要原因是組件獨(dú)立、可復(fù)用。組件化可以大幅度提高開(kāi)發(fā)效率、可測(cè)試性、可復(fù)用性、提升應(yīng)用性能。

    一、開(kāi)源組件生態(tài)安全風(fēng)險(xiǎn)分析

    近年來(lái)，開(kāi)源組件生態(tài)中的漏洞數(shù)呈上漲趨勢(shì)，截至2020年，開(kāi)源組件生態(tài)漏洞數(shù)3426個(gè)，較上年增加981個(gè)，同比增長(zhǎng)40.12%。

2015-2020年開(kāi)源組件生態(tài)漏洞分布

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2015-2020年，組件漏洞數(shù)量最多是Maven倉(cāng)庫(kù)，漏洞數(shù)量為3533個(gè)；npm倉(cāng)庫(kù)漏洞數(shù)量為2507個(gè)；Composer倉(cāng)庫(kù)漏洞數(shù)量為1552個(gè)；Go倉(cāng)庫(kù)漏洞數(shù)量最少，漏洞數(shù)量為348個(gè)；平均每個(gè)倉(cāng)庫(kù)漏洞數(shù)量為 1413 個(gè)。

2015-2020年各組件倉(cāng)庫(kù)漏洞情況

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2020年新增漏洞中，高危漏洞數(shù)量最高，數(shù)量為1826 個(gè)，占比53.3%；超危漏洞逐年遞增，數(shù)量下降至220個(gè)，占比6.42%；中危漏洞呈現(xiàn)平穩(wěn)增長(zhǎng)趨勢(shì)，數(shù)量為1235個(gè)，占比36.05%；低危漏洞逐年遞增，數(shù)量為145個(gè)，占比4.23%。

2015-2020年新增漏洞風(fēng)險(xiǎn)等級(jí)分布

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    相關(guān)報(bào)告：智班咨詢發(fā)布的《2021-2027年中國(guó)信息安全行業(yè)市場(chǎng)發(fā)展模式及戰(zhàn)略咨詢研究報(bào)告》

    2020年，Rubygems倉(cāng)庫(kù)含高危以上漏洞數(shù)最多，數(shù)量為756個(gè)，占Rubygems倉(cāng)庫(kù)新增漏洞的96.06%；Go倉(cāng)庫(kù)含高危以上漏洞數(shù)最少，數(shù)量為79個(gè)，占Go倉(cāng)庫(kù)新增漏洞的38.73%。

2020年各倉(cāng)庫(kù)中含高危以上漏洞數(shù)量

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2020年各倉(cāng)庫(kù)新增漏洞，平均版本漏洞數(shù)量最多的是TOP25組件，其中，Composer倉(cāng)庫(kù)的組件數(shù)最多，組件數(shù)12個(gè)，占比約 5 成左右；PyPI倉(cāng)庫(kù)的組件數(shù)排名第二，組件數(shù)7個(gè)。

平均版本漏洞最多TOP25組件倉(cāng)庫(kù)分布

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    二、開(kāi)源安全風(fēng)險(xiǎn)建議

    開(kāi)源生態(tài)帶來(lái)的正面效應(yīng)已在信息經(jīng)濟(jì)生活中發(fā)揮重要影響，如何在安全可控的情況下使用開(kāi)源，已成為開(kāi)源生態(tài)的關(guān)鍵任務(wù)。開(kāi)源安全風(fēng)險(xiǎn)防范措施應(yīng)貫穿軟件開(kāi)發(fā)的整個(gè)生命周期。

開(kāi)源安全風(fēng)險(xiǎn)建議

資料來(lái)源：智研咨詢整理