2020年中国开源漏洞数量及发展措施分析[图]

    开源漏洞信息往往散落分布在各大社区，很多漏洞信息不能及时被官方收录。同时，对于软件使用者，由于缺少漏洞信息跟踪能力，使得漏洞修复具有滞后性，提升了软件被攻击的风险，为软件供应链安全管控增加了难度。

    一、发展现状

    近五年来，全国开源软件漏洞整体呈增长趋势，2018年是开源项目快速增长的一年。2020年，全国开源漏洞数量5728个，较上年减少1746个，同比下降23.36%。

2015-2020年全国开源漏洞数量及增速

资料来源：国家互联网应急中心、智研咨询整理

    2020年发布的开源漏洞中未被CVE官方收录漏洞有1362个，占2020年发布漏洞总数的 23.78%；CVE官方未收录数据呈上涨趋势，增长率逐年递增，2018年环比2017年增长速度达 133.52%。

2015-2020年CVE官方未收录开源漏洞情况

资料来源：国家互联网应急中心、智研咨询整理

    相关报告：智班咨询发布的《2021-2027年中国软件行业市场发展潜力及投资盈利分析报告》

    2020年，全国高危及以上开源漏洞数量3193个，较上年减少571个，同比下降15.17%；其他开源漏洞数量2535个，较上年1175个，同比下降31.67%。

2015-2020年高危及以上开源漏洞数量

资料来源：国家互联网应急中心、智研咨询整理

    按漏洞危害等级分，我国高危及以上漏洞占比逐年递增，2020 年，超危漏洞占比为 8.83%，高危漏洞占比为46.91%，占2020年新增漏洞超五成，中危漏洞占比为40.5%，低危漏洞占比为3.67%。

2020年漏洞危害等级占比

资料来源：国家互联网应急中心、智研咨询整理

    按缺陷类型分，缺陷类型CWE-79数量多达824个，占2020年新增开源漏洞的14.39%；其次CWE-506数量726个，占2020年新增开源漏洞的12.67%；CWE-400数量510个，占2020年新增开源漏洞的8.90%；CWE-200数量305个，占2020年新增开源漏洞的5.32%。

2020年开源漏洞TOP10 CWE缺陷类型

资料来源：国家互联网应急中心、智研咨询整理

    二、发展措施

    随着开源趋势的不可逆以及开源软件在商业软件中占的比重越来越高，开源软件俨然已经成为软件开发的关键基础设施，因此开源软件的安全问题应该上升到国家安全的角度来对待。

开源软件漏洞风险控制措施

资料来源：智研咨询整理