开源漏洞信息往往散落分布在各大社区,很多漏洞信息不能及时被官方收录。同时,对于软件使用者,由于缺少漏洞信息跟踪能力,使得漏洞修复具有滞后性,提升了软件被攻击的风险,为软件供应链安全管控增加了难度。
一、发展现状
近五年来,全国开源软件漏洞整体呈增长趋势,2018年是开源项目快速增长的一年。2020年,全国开源漏洞数量5728个,较上年减少1746个,同比下降23.36%。
2015-2020年全国开源漏洞数量及增速
资料来源:国家互联网应急中心、智研咨询整理
2020年发布的开源漏洞中未被CVE官方收录漏洞有1362个,占2020年发布漏洞总数的 23.78%;CVE官方未收录数据呈上涨趋势,增长率逐年递增,2018年环比2017年增长速度达 133.52%。
2015-2020年CVE官方未收录开源漏洞情况
资料来源:国家互联网应急中心、智研咨询整理
相关报告:智班咨询发布的《2021-2027年中国软件行业市场发展潜力及投资盈利分析报告》
2020年,全国高危及以上开源漏洞数量3193个,较上年减少571个,同比下降15.17%;其他开源漏洞数量2535个,较上年1175个,同比下降31.67%。
2015-2020年高危及以上开源漏洞数量
资料来源:国家互联网应急中心、智研咨询整理
按漏洞危害等级分,我国高危及以上漏洞占比逐年递增,2020 年,超危漏洞占比为 8.83%,高危漏洞占比为46.91%,占2020年新增漏洞超五成,中危漏洞占比为40.5%,低危漏洞占比为3.67%。
2020年漏洞危害等级占比
资料来源:国家互联网应急中心、智研咨询整理
按缺陷类型分,缺陷类型CWE-79数量多达824个,占2020年新增开源漏洞的14.39%;其次CWE-506数量726个,占2020年新增开源漏洞的12.67%;CWE-400数量510个,占2020年新增开源漏洞的8.90%;CWE-200数量305个,占2020年新增开源漏洞的5.32%。
2020年开源漏洞TOP10 CWE缺陷类型
资料来源:国家互联网应急中心、智研咨询整理
二、发展措施
随着开源趋势的不可逆以及开源软件在商业软件中占的比重越来越高,开源软件俨然已经成为软件开发的关键基础设施,因此开源软件的安全问题应该上升到国家安全的角度来对待。
开源软件漏洞风险控制措施
资料来源:智研咨询整理
文章转载、引用说明:
智研咨询推崇信息资源共享,欢迎各大媒体和行研机构转载引用。但请遵守如下规则:
1.可全文转载,但不得恶意镜像。转载需注明来源(智研咨询)。
2.转载文章内容时不得进行删减或修改。图表和数据可以引用,但不能去除水印和数据来源。
如有违反以上规则,我们将保留追究法律责任的权力。
版权提示:
智研咨询倡导尊重与保护知识产权,对有明确来源的内容注明出处。如发现本站文章存在版权、稿酬或其它问题,烦请联系我们,我们将及时与您沟通处理。联系方式:gaojian@chyxx.com、010-60343812。