近期,一份由Black Duck发布的《2025年开源安全分析报告》揭示了商业代码库中的严峻安全现状。报告显示,高风险和过时的开源软件组件在商业代码库中泛滥,成为安全漏洞频发的主要原因。
这份报告深入分析了来自16个不同行业的965个商业代码库,结果令人震惊。高达97%的代码库中均含有开源组件,而其中的86%更是包含了易受攻击的开源组件。特别值得注意的是,jQuery库中的过时漏洞问题尤为突出,成为安全隐患的重灾区。复杂的依赖关系和许可证冲突进一步加剧了这一风险。
自2020年以来,应用程序中的平均开源文件数量激增了两倍,从5386个上升到16082个。这一增长趋势不仅未能带来安全性的提升,反而使得81%的代码库中都包含了高危或严重的漏洞。报告指出,十大最常见的高危漏洞中,有八个都与jQuery Java库相关。其中,CVE-2020-11023和CVE-2020-11022这两个跨站脚本(XSS)漏洞尤为普遍,存在于超过三分之一的代码库中。尽管这些漏洞的补丁早在2020年4月就已发布,但它们仍然广泛存在于商业代码库中,凸显了更新和维护开源组件的重要性。
报告还发现,64%的开源组件是通过传递依赖项引入的。这一多层依赖关系不仅增加了安全漏洞的风险,还带来了法律风险。近一半的高危和严重漏洞源于传递依赖项,而近30%的许可证冲突也同样来自传递依赖项。总体而言,56%的代码库都存在许可证冲突问题,这可能引发法律纠纷并导致产品上市延迟。
更令人担忧的是,商业代码库中对过时开源组件的依赖程度惊人。报告显示,90%的代码库使用了超过四年未更新的开源组件,91%的代码库使用了两年内未进行新开发的组件,而90%的代码库则使用了比最新版本落后10个以上版本的组件。这些过时组件的存在无疑为黑客提供了可乘之机,增加了安全攻击的风险。
面对这一严峻形势,Black Duck建议组织采取积极措施来加强开源组件的管理。组织应密切关注项目网站和代码库,及时获取最新的安全信息和漏洞补丁。同时,使用包管理器、自动化监控工具和版本跟踪工具等技术手段,实现对开源组件的全面监控和管理。虽然保持所有软件组件100%最新可能不太现实,但主动管理和修复已知漏洞是确保代码库安全的关键。
