開源組件是當今許多軟件應用程序的基礎，但這使它們在安全性方面受到越來越嚴格的審查。

開源管理專家WhiteSource發(fā)布了一份新報告，該報告顯示2019年公開的開源軟件漏洞激增至6000多個，增長了近50%。

好消息是，已經披露了超過85%的開源漏洞，并且已經提供了修復程序。但是，有關漏洞的信息并沒有在一個集中的位置發(fā)布，而是分散在數百種資源中，有時索引編制不正確，這常常使搜索特定數據成為一個挑戰(zhàn)。

根據WhiteSource的數據庫，最終在NVD(國家漏洞數據庫)之外報告的所有開源漏洞中，只有29%最終發(fā)布在其中。

此外，研究人員比較了2019年報告的開源漏洞時排名前七的編碼語言的堆積方式，然后將這些數字與過去十年的數量進行了比較。

由于使用這種語言編寫的大量代碼，C仍然具有最高的漏洞百分比。PHP的相對漏洞數量已大大增加，而沒有跡象表明流行程度同樣有所提高。盡管Python(尤其是在開源社區(qū)中)的普及率持續(xù)上升，但其漏洞百分比相對較低。

該報告還考慮了CVSS(通用漏洞評分系統)分數是否是補救優(yōu)先級的最佳方法。在過去的幾年中，CVSS已進行了多次更新，以期達到可衡量的，客觀的標準，從而為所有組織和行業(yè)提供支持。但是在此過程中，它也改變了高嚴重性漏洞的定義。這意味著在CVSS v2下被定為7.6的漏洞在CVSS v3.0下可能為9.8，這意味著團隊面臨著更多的高嚴重性問題。現在，超過55%的用戶具有高嚴重性或嚴重性。

該報告的作者得出以下結論：

此列表中最重要的一點是，僅因為流行的開源項目具有漏洞，并不意味著它們本身就不安全。

這僅意味著作為開源項目的用戶，您需要了解安全風險，并確保保持開源依賴關系的最新狀態(tài)。

開源組件已成為我們軟件項目不可或缺的一部分。乍一看，開放源代碼漏洞的格局似乎復雜而富有挑戰(zhàn)性，但是有一些方法可以使人們對組成我們發(fā)布的產品的開放源代碼組件具有可見性并加以控制。