根据调查结果,相比 2015 年漏洞数据,近 5 年的漏洞数量均有不同程度增长。2018 年是开源项目快速增长的一年,根据 GitHub 官方数据显示,GitHub 代码仓库中超过 1/3 的开源项目创建于 2018 年,2018 年新增开源漏洞数也创下近 6 年新高,新增 7563 个漏洞,相较于 2015 年翻了 2.85 倍;2017 年漏洞增长速度最快,环比增长率为 92.86%;2019 年与 2020 年增长率略有下降,2020 年发布的漏洞数较 2019 年发布漏洞数少了 1746 条。
根据对 CVE 官方网站的统计,2020 年发布的开源漏洞中未被 CVE 官方收录漏洞有 1362 个,占 2020 年发布漏洞总数的 23.78%;CVE 官方未收录数据呈上长趋势,增长率逐年递增,2018 年环比 2017 年增长速度达 133.52%。
2020 年发布的开源漏洞中,编号为 CVE-2009-4067 的 Linux 内核的 Auerswald Linux USB 驱动程序的缓冲区溢出漏洞由 POC 披露到 NVD 首次公开时间长达 11 年。
开源软件的使用者仅关注官方漏洞库(如 NVD 等)可能无法及时获取漏洞信息,需综合考虑更多渠道的漏洞数据。
根据调查结果,近 6 年开源组件生态中漏洞数逐年递增。其中,2020 年新增漏洞数为 3426,环比去年增长 40%;2017 年增长速度最快,环比增长 49%;近 3 年增长速度呈上升趋势,2020 年新增漏洞数是 2015 年的 4.48 倍。
声明:本站所有报告及文章,如无特殊说明或标注,均为本站用户发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。