【BlackDuck】2025年度开源安全和风险分析报告

BLACKDUCK·2025年度开源安全和风险分析报告欢迎阅读2025年度OSSRA报告 2关于本报告的数据和BlackDuck审计 3 4 7 7 8使用SCA和SBOM提高软件安全性和透明度 8 11Log4j和Equifax：关于代码可视性的两点经验教训 12 13 18 18 19 19 202024年的十大开源许可证 20 21如何通过SCA管理开源许可证风险 21 22 23 25 27 282025年度开源安全和风险分析报告|1OSS组件中，有超过28万个来自庞大的Ja2025年度开源安全和风险分析报告|2本报告使用的数据来自BlackDuck审计团队在2024年对16个行业965个商业代码库的1,658次分析所得匿名结果的评估(网络安全研究中心(CyRC)提供和管理，其中包含来自5.7万个Forges和存储库的超过870万个开源组件的数据。代码库中的1,658个单独项目。2025年度开源安全和风险分析报告|3e.eBlacke.e传递性依赖项传递性依赖项开源文件数量增加了两倍。开源文件数量增加了两倍。JavaScript编写的。原始存储库语言2024年审计中发现的npmJavaScript282,521yarn(JavaScript)JavaScript162,327pnpm(JavaScript)JavaScript24,069原始存储库语言2024年审计中发现的CargoRust33,327NugetC#,VisualBasic,29,818go_mod24,069MavenJava14,097packagistPHP6,112GradleJava,C,JavaScript4,6152025年度开源安全和风险分析报告|486%81%10个中的8个10大高风险漏洞中有8个是在jQuery中发现的100%88%行业包100%88%87%86%87%86%86%83%80%80%80%79%78%76%72%71%63%60%企业软件/SaaS2025年度开源安全和风险分析报告|556%33%91%的代码库中包含过时的90%的代码库中包含落后于最新版本至少10个版本的组件OSS组件行业71%71%71%71%66%64%63%61%58%57%56%54%53%51%50%48%47%37%企业软件/企业软件/SaaS2025年度开源安全和风险分析报告|615486%81%of86%81%ofthecodebasescontainedhigh-foundinasinglecodebase3,54832%16%15%12%12%11%9%8%5%1%jQueryBootstrap(Twitter)SpringFrameworkLodashNettyProjectjackson-databindApacheTomcatPythonprogramminglanguageTensorFlow2025年度开源安全和风险分析报告|72025年度开源安全和风险分析报告|82025年度开源安全和风险分析报告|9SCA工具通过以下方式生成SBOM：2025年度开源安全和风险分析报告|102025年度开源安全和风险分析报告|11例如，在我们扫描中发现的1号漏洞CVE-2020-11023是影响jQuery易受攻他漏洞而言而实际的优先级分配因具体情况而异。2025年度开源安全和风险分析报告|12虽然当代媒体的报道有点夸张，但2021年的Log4Shell漏洞和2017年的Equifax漏洞都提醒着我们了解开源组件的重要性。被迫牺牲了12月份的假期，加班加点寻找L事件事件易受攻击的组件Log4j2library中Log4j使用的认知EquifaxApacheStrutsLog4j尽管对2017年EquifaxApacheStruts漏洞利用的解释多年来已简化为：负责传达打补丁需求的人员没有将信息传递给合—Equifax数据泄露事件，2018年12月第115届国会多数党工作人员报告用内部工作原理的人员已经所剩无几，以至于名义上的监管人员甚至不知道它包含ApacheStruts软件。2025年度开源安全和风险分析报告|132025年度开源安全和风险分析报告|1471%70%60%56%48%48%44%132139%133336%容易受到DoS攻击。31%2025年度开源安全和风险分析报告|15本报告中提到的BlackDuck安全建议(BDSA)是由我们CyRC提供和管理的BlackDuck专属漏洞数据源。BDSA针对大量漏我们接下来仔细看看扫描中发现的主要的高风....8.10.CVE-2020-11023(BDSA-2020-0964)33%33%CVE-2020-11022(BDSA-2020-0686)33%33%CVE-2019-11358(BDSA-2019-1138)30%30%BDSA-2014-006329%29%CVE-2015-9251(BDSA-2017-2930)29%29%BDSA-2015-056727%27%CVE-2020-23064(BDSA-2020-4841)21%21%CVE-2023-45133(BDSA-2023-2769)18%18%18%CVE-2020-7656(BDSA-2020-1173)18%CVE-2022-25883(BDSA-2023-2207)13%13% 1.CVE-2020-110232025年度开源安全和风险分析报告|162.CVE-2020-110223.CVE-2019-11358洞没有关联的CVE。2025年度开源安全和风险分析报告|17的UglifyJS解析器时，很容易受到通过精心编制的JavaScript文件发起的任意代码执行攻击。最终，攻击者7.CVE-2020-23064CVE-2020-23064是一个XSS漏洞，存在于2.2.0到3.5.0版本的jQuery中。该漏洞允许攻击者利用<options>元素处理之便执8.CVE-2023-45133CVE-2020-7656是jQuery中的另一个XSSCVE-2023-45133是常见的JavaScript编译器Babel中的漏洞。它会影响@babel/traverse包和所有版本的babel-traverse。CVE-2022-25883是某些Node.js系统中使用的semver包中的正则表达式拒绝服务(ReDoS)漏洞。该漏洞影响semver包的具（例如Coverity®StaticAnalysis和生产安全DAST工具BlackDuck®ContinuousDynamic）来识别由于对用户提交的数2025年度开源安全和风险分析报告|182025年度开源安全和风险分析报告|19—EricAllman2025年度开源安全和风险分析报告|20许多限制性许可证通常要求衍生作品也按照相2024年的十大开源许可证许可证包含许可证的扫描数据库百分比风险*是否经OSI批准MITLicense92%低是ApacheLicense2.090%低是BSD3-Clause“New”or“Revised”License85%低是BSD2-Clause“Simplified”License74%低是ISCLicense61%低是GenericPublicDomain57%是GNULesserGeneralPublicLicensev2.1或48%高是TheUnlicense47%低是CreativeCommonsZerov1.0Universal46%否MozillaPublicLicense2.045%中是2025年度开源安全和风险分析报告|21一些常用的开源许可证，如GNUGeneralPublicLicensev2.0或更高版本以及GNULesserGeneralPublicLicense2025年度开源安全和风险分析报告|2271%71%66%71%71%66%64%63%61%58%57%56%54%53%51%50%48%47%企业软件/SaaS37%2025年度开源安全和风险分析报告|23 避免意外在潜在问题影响到交易在交易条款中包含规划卖方/买方代码的 之前解决它们适当的保护措施2025年度开源安全和风险分析报告|242025年度开源安全和风险分析报告|2590%90%的代码库包含过时4年以上的开源组件91%91%的代码库包含在过79%79%的代码库包含在过去24个月内没有进行任88%88%的代码库包含在过去24个月内没有进行任2025年度开源安全和风险分析报告|26•大多数代码库(91%)包含的OSS都不是此类特定组件的最新可用版本2025年度开源安全和风险分析报告|27“风险源于您不知道自己在做什么”—WarrenBuffetandCharlesMunger当97%的代码包含开源组件时，需要将代码可视性视为优先事项。当91%的代码库使用远远落后于当前版本的开源组件时，2025年度开源安全和风险分析报告|28McGuire、PhilOdence、Liz