【BlackDuck】2025年度開源安全和風險分析報告

BLACKDUCK·2025年度開源安全和風險分析報告歡迎閱讀2025年度OSSRA報告 2關于本報告的數(shù)據(jù)和BlackDuck審計 3 4 7 7 8使用SCA和SBOM提高軟件安全性和透明度 8 11Log4j和Equifax：關于代碼可視性的兩點經(jīng)驗教訓 12 13 18 18 19 19 202024年的十大開源許可證 20 21如何通過SCA管理開源許可證風險 21 22 23 25 27 282025年度開源安全和風險分析報告|1OSS組件中，有超過28萬個來自龐大的Ja2025年度開源安全和風險分析報告|2本報告使用的數(shù)據(jù)來自BlackDuck審計團隊在2024年對16個行業(yè)965個商業(yè)代碼庫的1,658次分析所得匿名結果的評估(網(wǎng)絡安全研究中心(CyRC)提供和管理，其中包含來自5.7萬個Forges和存儲庫的超過870萬個開源組件的數(shù)據(jù)。代碼庫中的1,658個單獨項目。2025年度開源安全和風險分析報告|3e.eBlacke.e傳遞性依賴項傳遞性依賴項開源文件數(shù)量增加了兩倍。開源文件數(shù)量增加了兩倍。JavaScript編寫的。原始存儲庫語言2024年審計中發(fā)現(xiàn)的npmJavaScript282,521yarn(JavaScript)JavaScript162,327pnpm(JavaScript)JavaScript24,069原始存儲庫語言2024年審計中發(fā)現(xiàn)的CargoRust33,327NugetC#,VisualBasic,29,818go_mod24,069MavenJava14,097packagistPHP6,112GradleJava,C,JavaScript4,6152025年度開源安全和風險分析報告|486%81%10個中的8個10大高風險漏洞中有8個是在jQuery中發(fā)現(xiàn)的100%88%行業(yè)包100%88%87%86%87%86%86%83%80%80%80%79%78%76%72%71%63%60%企業(yè)軟件/SaaS2025年度開源安全和風險分析報告|556%33%91%的代碼庫中包含過時的90%的代碼庫中包含落后于最新版本至少10個版本的組件OSS組件行業(yè)71%71%71%71%66%64%63%61%58%57%56%54%53%51%50%48%47%37%企業(yè)軟件/企業(yè)軟件/SaaS2025年度開源安全和風險分析報告|615486%81%of86%81%ofthecodebasescontainedhigh-foundinasinglecodebase3,54832%16%15%12%12%11%9%8%5%1%jQueryBootstrap(Twitter)SpringFrameworkLodashNettyProjectjackson-databindApacheTomcatPythonprogramminglanguageTensorFlow2025年度開源安全和風險分析報告|72025年度開源安全和風險分析報告|82025年度開源安全和風險分析報告|9SCA工具通過以下方式生成SBOM：2025年度開源安全和風險分析報告|102025年度開源安全和風險分析報告|11例如，在我們掃描中發(fā)現(xiàn)的1號漏洞CVE-2020-11023是影響jQuery易受攻他漏洞而言而實際的優(yōu)先級分配因具體情況而異。2025年度開源安全和風險分析報告|12雖然當代媒體的報道有點夸張，但2021年的Log4Shell漏洞和2017年的Equifax漏洞都提醒著我們了解開源組件的重要性。被迫犧牲了12月份的假期，加班加點尋找L事件事件易受攻擊的組件Log4j2library中Log4j使用的認知EquifaxApacheStrutsLog4j盡管對2017年EquifaxApacheStruts漏洞利用的解釋多年來已簡化為：負責傳達打補丁需求的人員沒有將信息傳遞給合—Equifax數(shù)據(jù)泄露事件，2018年12月第115屆國會多數(shù)黨工作人員報告用內(nèi)部工作原理的人員已經(jīng)所剩無幾，以至于名義上的監(jiān)管人員甚至不知道它包含ApacheStruts軟件。2025年度開源安全和風險分析報告|132025年度開源安全和風險分析報告|1471%70%60%56%48%48%44%132139%133336%容易受到DoS攻擊。31%2025年度開源安全和風險分析報告|15本報告中提到的BlackDuck安全建議(BDSA)是由我們CyRC提供和管理的BlackDuck專屬漏洞數(shù)據(jù)源。BDSA針對大量漏我們接下來仔細看看掃描中發(fā)現(xiàn)的主要的高風....8.10.CVE-2020-11023(BDSA-2020-0964)33%33%CVE-2020-11022(BDSA-2020-0686)33%33%CVE-2019-11358(BDSA-2019-1138)30%30%BDSA-2014-006329%29%CVE-2015-9251(BDSA-2017-2930)29%29%BDSA-2015-056727%27%CVE-2020-23064(BDSA-2020-4841)21%21%CVE-2023-45133(BDSA-2023-2769)18%18%18%CVE-2020-7656(BDSA-2020-1173)18%CVE-2022-25883(BDSA-2023-2207)13%13% 1.CVE-2020-110232025年度開源安全和風險分析報告|162.CVE-2020-110223.CVE-2019-11358洞沒有關聯(lián)的CVE。2025年度開源安全和風險分析報告|17的UglifyJS解析器時，很容易受到通過精心編制的JavaScript文件發(fā)起的任意代碼執(zhí)行攻擊。最終，攻擊者7.CVE-2020-23064CVE-2020-23064是一個XSS漏洞，存在于2.2.0到3.5.0版本的jQuery中。該漏洞允許攻擊者利用<options>元素處理之便執(zhí)8.CVE-2023-45133CVE-2020-7656是jQuery中的另一個XSSCVE-2023-45133是常見的JavaScript編譯器Babel中的漏洞。它會影響@babel/traverse包和所有版本的babel-traverse。CVE-2022-25883是某些Node.js系統(tǒng)中使用的semver包中的正則表達式拒絕服務(ReDoS)漏洞。該漏洞影響semver包的具（例如Coverity?StaticAnalysis和生產(chǎn)安全DAST工具BlackDuck?ContinuousDynamic）來識別由于對用戶提交的數(shù)2025年度開源安全和風險分析報告|182025年度開源安全和風險分析報告|19—EricAllman2025年度開源安全和風險分析報告|20許多限制性許可證通常要求衍生作品也按照相2024年的十大開源許可證許可證包含許可證的掃描數(shù)據(jù)庫百分比風險*是否經(jīng)OSI批準MITLicense92%低是ApacheLicense2.090%低是BSD3-Clause“New”or“Revised”License85%低是BSD2-Clause“Simplified”License74%低是ISCLicense61%低是GenericPublicDomain57%是GNULesserGeneralPublicLicensev2.1或48%高是TheUnlicense47%低是CreativeCommonsZerov1.0Universal46%否MozillaPublicLicense2.045%中是2025年度開源安全和風險分析報告|21一些常用的開源許可證，如GNUGeneralPublicLicensev2.0或更高版本以及GNULesserGeneralPublicLicense2025年度開源安全和風險分析報告|2271%71%66%71%71%66%64%63%61%58%57%56%54%53%51%50%48%47%企業(yè)軟件/SaaS37%2025年度開源安全和風險分析報告|23 避免意外在潛在問題影響到交易在交易條款中包含規(guī)劃賣方/買方代碼的 之前解決它們適當?shù)谋Ｗo措施2025年度開源安全和風險分析報告|242025年度開源安全和風險分析報告|2590%90%的代碼庫包含過時4年以上的開源組件91%91%的代碼庫包含在過79%79%的代碼庫包含在過去24個月內(nèi)沒有進行任88%88%的代碼庫包含在過去24個月內(nèi)沒有進行任2025年度開源安全和風險分析報告|26?大多數(shù)代碼庫(91%)包含的OSS都不是此類特定組件的最新可用版本2025年度開源安全和風險分析報告|27“風險源于您不知道自己在做什么”—WarrenBuffetandCharlesMunger當97%的代碼包含開源組件時，需要將代碼可視性視為優(yōu)先事項。當91%的代碼庫使用遠遠落后于當前版本的開源組件時，2025年度開源安全和風險分析報告|28McGuire、PhilOdence、Liz