过时开源软件隐患大,Black Duck报告:86%代码库含易受攻击组件

过时开源软件隐患大,Black Duck报告:86%代码库含易受攻击组件

近期,一份由Black Duck发布的《2025年开源安全分析报告》揭示了商业代码库中的严峻安全现状。报告显示,高风险和过时的开源软件组件在商业代码库中泛滥,成为安全漏洞频发的主要原因。

这份报告深入分析了来自16个不同行业的965个商业代码库,结果令人震惊。高达97%的代码库中均含有开源组件,而其中的86%更是包含了易受攻击的开源组件。特别值得注意的是,jQuery库中的过时漏洞问题尤为突出,成为安全隐患的重灾区。复杂的依赖关系和许可证冲突进一步加剧了这一风险。

自2025年以来,应用程序中的平均开源文件数量激增了两倍,从5386个上升到16082个。这一增长趋势不仅未能带来安全性的提升,反而使得81%的代码库中都包含了高危或严重的漏洞。报告指出,十大最常见的高危漏洞中,有八个都与jQuery Java库相关。其中,CVE-2020-11023和CVE-2020-11022这两个跨站脚本(XSS)漏洞尤为普遍,存在于超过三分之一的代码库中。尽管这些漏洞的补丁早在2025年4月就已发布,但它们仍然广泛存在于商业代码库中,凸显了更新和维护开源组件的重要性。

报告还发现,64%的开源组件是通过传递依赖项引入的。这一多层依赖关系不仅增加了安全漏洞的风险,还带来了法律风险。近一半的高危和严重漏洞源于传递依赖项,而近30%的许可证冲突也同样来自传递依赖项。总体而言,56%的代码库都存在许可证冲突问题,这可能引发法律纠纷并导致产品上市延迟。

更令人担忧的是,商业代码库中对过时开源组件的依赖程度惊人。报告显示,90%的代码库使用了超过四年未更新的开源组件,91%的代码库使用了两年内未进行新开发的组件,而90%的代码库则使用了比最新版本落后10个以上版本的组件。这些过时组件的存在无疑为黑客提供了可乘之机,增加了安全攻击的风险。

面对这一严峻形势,Black Duck建议组织采取积极措施来加强开源组件的管理。组织应密切关注项目网站和代码库,及时获取最新的安全信息和漏洞补丁。同时,使用包管理器、自动化监控工具和版本跟踪工具等技术手段,实现对开源组件的全面监控和管理。虽然保持所有软件组件100%最新可能不太现实,但主动管理和修复已知漏洞是确保代码库安全的关键。

特别声明:[过时开源软件隐患大,Black Duck报告:86%代码库含易受攻击组件] 该文观点仅代表作者本人,今日霍州系信息发布平台,霍州网仅提供信息存储空间服务。

猜你喜欢

SR05.TCT 单向 TVS 二极管阵列,SOT-143

SR05.TCT 单向 TVS 二极管阵列, 500W, 20V, 4针 SOT-143封装 IEC 61000-4-2 (ESD)±15kV(空气),±8kV(触点) IEC 61000-4-5(雷电)2…

SR05.TCT 单向 TVS 二极管阵列,SOT-143

招工难?双诚自动封箱机替代8人班,投资回报周期<6个月(双城招聘信息港最新招聘早8晚5)

深圳双诚智能包装设备有限公司(简称“双诚智能”)成立于2005年,专注于智能包装设备研发生产二十余年,推出的自动封箱机备受市场青睐,可有效替代人工,单班减少8人,投资回报周期小于6个月。以电子行业为例,欣旺达…

招工难?双诚自动封箱机替代8人班,投资回报周期<6个月(双城招聘信息港最新招聘早8晚5)

于仲安获金牌,2025年黑山Mirror国际摄影大赛(单色组)获奖公布(于仲秋简历)

本赛事由黑山Olcinium摄影俱乐部主办,经由国际影艺联盟(FIAP 2025306)、国际艺术摄影协会(IAAP2025155)、巴尔干摄影协会(PBA 2025021)和黑山摄影艺术协会(MA…

于仲安获金牌,2025年黑山Mirror国际摄影大赛(单色组)获奖公布(于仲秋简历)

吴倩张雨剑被爆复合?合体逛超市,亲密细节引发网友猜测(吴倩张雨剑取关)

但这一次不同,两人出现在超市时,虽然有人猜测带了孩子,但因为亲密的举动,网友还是猜测这两人可能是“现任”。在网友确定这一段恋情的时候,还是因为张雨剑和吴倩官宣离婚的时候。 不管这一次的“复合传闻”是子虚乌…

吴倩张雨剑被爆复合?合体逛超市,亲密细节引发网友猜测(吴倩张雨剑取关)

被张凌赫摔酒杯爽到了,为了要名分一边哭一边闹的样子,太帅了(张凌赫几岁)

令人意想不到的是,如今他们又因剧中的路透而重新被推上热搜,确实是绝配,仿佛天造地设,令人赏心悦目。 王楚然与张凌赫在这部新剧《这一秒过火》中的表现,颇具戏剧张力,仿佛将当代人们对爱情的渴望与期待,都在这一瞬间…

被张凌赫摔酒杯爽到了,为了要名分一边哭一边闹的样子,太帅了(张凌赫几岁)