商業(yè)代碼庫(kù)廣泛使用高風(fēng)險(xiǎn)開(kāi)源組件，安全漏洞頻發(fā)

　　根據(jù)Black Duck最新發(fā)布的《2025開(kāi)源安全和分析報(bào)告》，商業(yè)代碼庫(kù)中普遍存在高風(fēng)險(xiǎn)和過(guò)時(shí)的開(kāi)源軟件組件，導(dǎo)致安全漏洞頻發(fā)。報(bào)告分析了16個(gè)行業(yè)的965個(gè)商業(yè)代碼庫(kù)，發(fā)現(xiàn)97%的代碼庫(kù)包含開(kāi)源組件，其中86%的代碼庫(kù)包含易受攻擊的開(kāi)源組件，過(guò)時(shí)的jQuery庫(kù)漏洞尤為突出。

　　自2020年以來(lái)，每個(gè)應(yīng)用程序中的平均開(kāi)源文件數(shù)量增加了兩倍，從5386個(gè)躍升至16082個(gè)，81%的代碼庫(kù)包含高危或嚴(yán)重漏洞。十大最常見(jiàn)的高危漏洞中有八個(gè)出現(xiàn)在jQuery JavaScript庫(kù)中，超過(guò)三分之一的代碼庫(kù)存在CVE-2020-11023和CVE-2020-11022這兩個(gè)跨站腳本(XSS)漏洞。盡管這些漏洞的補(bǔ)丁早在2020年4月就已發(fā)布，但仍廣泛存在于商業(yè)代碼庫(kù)中，凸顯了過(guò)時(shí)開(kāi)源軟件的風(fēng)險(xiǎn)。

　　此外，64%的開(kāi)源組件是傳遞依賴(lài)項(xiàng)，近一半的高危和嚴(yán)重漏洞源于傳遞依賴(lài)項(xiàng)。這種多層依賴(lài)關(guān)系也帶來(lái)了法律風(fēng)險(xiǎn)，近30%的許可證沖突來(lái)自傳遞依賴(lài)項(xiàng)�？傮w而言，56%的代碼庫(kù)存在許可證沖突，可能引發(fā)法律問(wèn)題并導(dǎo)致產(chǎn)品上市延遲。

　　Black Duck建議組織通過(guò)關(guān)注項(xiàng)目網(wǎng)站和代碼庫(kù)、使用包管理器、自動(dòng)化監(jiān)控工具和版本跟蹤工具等方式，及時(shí)了解高危漏洞。雖然保持所有軟件組件100%最新可能不切實(shí)際，但主動(dòng)管理和修復(fù)已知漏洞至關(guān)重要。