开源组件生态蓬勃发展,重要原因是组件独立、可复用。组件化可以大幅度提高开发效率、可测试性、可复用性、提升应用性能。
一、开源组件生态安全风险分析
近年来,开源组件生态中的漏洞数呈上涨趋势,截至2020年,开源组件生态漏洞数3426个,较上年增加981个,同比增长40.12%。
2015-2020年开源组件生态漏洞分布
资料来源:国家互联网应急中心、智研咨询整理
2015-2020年,组件漏洞数量最多是Maven仓库,漏洞数量为3533个;npm仓库漏洞数量为2507个;Composer仓库漏洞数量为1552个;Go仓库漏洞数量最少,漏洞数量为348个;平均每个仓库漏洞数量为 1413 个。
2015-2020年各组件仓库漏洞情况
资料来源:国家互联网应急中心、智研咨询整理
2020年新增漏洞中,高危漏洞数量最高,数量为1826 个,占比53.3%;超危漏洞逐年递增,数量下降至220个,占比6.42%;中危漏洞呈现平稳增长趋势,数量为1235个,占比36.05%;低危漏洞逐年递增,数量为145个,占比4.23%。
2015-2020年新增漏洞风险等级分布
资料来源:国家互联网应急中心、智研咨询整理
相关报告:智班咨询发布的《2021-2027年中国信息安全行业市场发展模式及战略咨询研究报告》
2020年,Rubygems仓库含高危以上漏洞数最多,数量为756个,占Rubygems仓库新增漏洞的96.06%;Go仓库含高危以上漏洞数最少,数量为79个,占Go仓库新增漏洞的38.73%。
2020年各仓库中含高危以上漏洞数量
资料来源:国家互联网应急中心、智研咨询整理
2020年各仓库新增漏洞,平均版本漏洞数量最多的是TOP25组件,其中,Composer仓库的组件数最多,组件数12个,占比约 5 成左右;PyPI仓库的组件数排名第二,组件数7个。
平均版本漏洞最多TOP25组件仓库分布
资料来源:国家互联网应急中心、智研咨询整理
二、开源安全风险建议
开源生态带来的正面效应已在信息经济生活中发挥重要影响,如何在安全可控的情况下使用开源,已成为开源生态的关键任务。开源安全风险防范措施应贯穿软件开发的整个生命周期。
开源安全风险建议
资料来源:智研咨询整理
文章转载、引用说明:
智研咨询推崇信息资源共享,欢迎各大媒体和行研机构转载引用。但请遵守如下规则:
1.可全文转载,但不得恶意镜像。转载需注明来源(智研咨询)。
2.转载文章内容时不得进行删减或修改。图表和数据可以引用,但不能去除水印和数据来源。
如有违反以上规则,我们将保留追究法律责任的权力。
版权提示:
智研咨询倡导尊重与保护知识产权,对有明确来源的内容注明出处。如发现本站文章存在版权、稿酬或其它问题,烦请联系我们,我们将及时与您沟通处理。联系方式:gaojian@chyxx.com、010-60343812。
![2023年中国汽车冷冲压模具行业全景简析:新车型研发、上市加速,推动行业高速发展[图]](http://img.chyxx.com/images/2022/0330/ff5315f651f3e124d0f5a156ac51655e46e5433f.png?x-oss-process=style/w320)
![2024年中国钙钛矿电池行业发展现状分析:光伏企业加快布局钙钛矿,钙钛矿电池产业前景广阔[图]](http://img.chyxx.com/images/2022/0408/1ba88a0bac4b4a65439b806124f6fc0f4ab03cad.png?x-oss-process=style/w320)
![2024年中国制氢电源行业发展现状:政策支持绿氢渗透率提升,制氢电源一片蓝海 [图]](http://img.chyxx.com/images/2022/0408/55d853aceb464ffcf6fad7c27bbd7795797b1b5a.png?x-oss-process=style/w320)
![2023年中国铁路连接器行业竞争格局分析:本土企业快速崛起,产品实现进口突破[图]](http://img.chyxx.com/images/2022/0330/b388a599ab8b82a70e79838a8b0d600efa11727f.png?x-oss-process=style/w320)
![2024年中国云安全行业发展现状及及发展趋势分析:需求随市场扩大而快速增长,未来发展前景广阔 [图]](http://img.chyxx.com/images/2022/0330/d1363a7ee3953fc25ed09e0b79158acce9dc7c22.png?x-oss-process=style/w320)