开源组件生态蓬勃发展,重要原因是组件独立、可复用。组件化可以大幅度提高开发效率、可测试性、可复用性、提升应用性能。
一、开源组件生态安全风险分析
近年来,开源组件生态中的漏洞数呈上涨趋势,截至2020年,开源组件生态漏洞数3426个,较上年增加981个,同比增长40.12%。
2015-2020年开源组件生态漏洞分布
资料来源:国家互联网应急中心、智研咨询整理
2015-2020年,组件漏洞数量最多是Maven仓库,漏洞数量为3533个;npm仓库漏洞数量为2507个;Composer仓库漏洞数量为1552个;Go仓库漏洞数量最少,漏洞数量为348个;平均每个仓库漏洞数量为 1413 个。
2015-2020年各组件仓库漏洞情况
资料来源:国家互联网应急中心、智研咨询整理
2020年新增漏洞中,高危漏洞数量最高,数量为1826 个,占比53.3%;超危漏洞逐年递增,数量下降至220个,占比6.42%;中危漏洞呈现平稳增长趋势,数量为1235个,占比36.05%;低危漏洞逐年递增,数量为145个,占比4.23%。
2015-2020年新增漏洞风险等级分布
资料来源:国家互联网应急中心、智研咨询整理
相关报告:智班咨询发布的《2021-2027年中国信息安全行业市场发展模式及战略咨询研究报告》
2020年,Rubygems仓库含高危以上漏洞数最多,数量为756个,占Rubygems仓库新增漏洞的96.06%;Go仓库含高危以上漏洞数最少,数量为79个,占Go仓库新增漏洞的38.73%。
2020年各仓库中含高危以上漏洞数量
资料来源:国家互联网应急中心、智研咨询整理
2020年各仓库新增漏洞,平均版本漏洞数量最多的是TOP25组件,其中,Composer仓库的组件数最多,组件数12个,占比约 5 成左右;PyPI仓库的组件数排名第二,组件数7个。
平均版本漏洞最多TOP25组件仓库分布
资料来源:国家互联网应急中心、智研咨询整理
二、开源安全风险建议
开源生态带来的正面效应已在信息经济生活中发挥重要影响,如何在安全可控的情况下使用开源,已成为开源生态的关键任务。开源安全风险防范措施应贯穿软件开发的整个生命周期。
开源安全风险建议
资料来源:智研咨询整理
文章转载、引用说明:
智研咨询推崇信息资源共享,欢迎各大媒体和行研机构转载引用。但请遵守如下规则:
1.可全文转载,但不得恶意镜像。转载需注明来源(智研咨询)。
2.转载文章内容时不得进行删减或修改。图表和数据可以引用,但不能去除水印和数据来源。
如有违反以上规则,我们将保留追究法律责任的权力。
版权提示:
智研咨询倡导尊重与保护知识产权,对有明确来源的内容注明出处。如发现本站文章存在版权、稿酬或其它问题,烦请联系我们,我们将及时与您沟通处理。联系方式:gaojian@chyxx.com、010-60343812。