《2025 年度开源安全和风险分析报告》由 Black Duck 发布,全书共计 32 页,聚焦于开源软件在安全与风险方面的问题。报告指出,开源软件虽有诸多优势,但其存在的风险需积极管理。从开源软件的使用现状来看,其在当今商业领域得到了极为广泛的应用,相关数据显示,97% 的商业代码库中都包含开源代码,每个应用平均包含 911 个 OSS(开源软件)组件。而且,开源代码库正变得愈发庞大复杂,近四年普通应用中的开源文件数量增加了两倍之多,其中 64% 的开源组件属于传递性依赖项。
然而,开源软件并非没有风险。在安全漏洞方面,81% 的风险评估代码库存在高风险或重大风险漏洞,仅在 jQuery 中,10 大高风险漏洞中就有 8 个被发现,多数开源漏洞与输入验证不当有关,例如 CWE - 79 涉及的跨站脚本问题。在许可问题上,56% 的代码库存在许可证冲突,33% 的代码库包含无许可证或定制许可证的 OSS 组件,而传递性依赖往往会引发许可证冲突,不同行业的许可证冲突情况也有所不同。此外,维护和运营风险也不容忽视,91% 的代码库包含过时组件,且使用的 OSS 并非最新版本,大量组件存在维护不及时的问题,这无疑增加了安全风险。
面对这些风险,报告提出了相应的应对建议。从技术工具层面来看,使用 SCA(软件组成分析)工具生成 SBOM(软件物料清单)是关键一步。SCA 工具通过代码扫描、依赖关系分析等方式生成 SBOM,而 SBOM 在识别和管理风险、漏洞、许可证合规等问题上具有重要意义。在管理实践层面,企业应为风险管理分配优先级,重点关注高风险问题;定期更新 OSS,及时修补易受攻击的软件;建立安全编码实践,重视输入验证等环节;同时,监控 OSS 维护工作,利用多种方式了解更新动态;将 OSS 管理集成到 SDLC(软件开发生命周期)中,遵循最佳实践;在涉及并购时,利用专业审计服务对收购事宜进行审查。总之,开源软件的风险不容忽视,企业只有借助技术工具和科学的管理实践,全面了解软件供应链,加强安全实践,主动进行许可和维护管理,才能在享受开源软件优势的同时,有效降低风险,确保软件的安全性和可靠性。
