2020年中國開源漏洞數量及發(fā)展措施分析[圖]

    開源漏洞信息往往散落分布在各大社區(qū)，很多漏洞信息不能及時被官方收錄。同時，對于軟件使用者，由于缺少漏洞信息跟蹤能力，使得漏洞修復具有滯后性，提升了軟件被攻擊的風險，為軟件供應鏈安全管控增加了難度。

    一、發(fā)展現狀

    近五年來，全國開源軟件漏洞整體呈增長趨勢，2018年是開源項目快速增長的一年。2020年，全國開源漏洞數量5728個，較上年減少1746個，同比下降23.36%。

2015-2020年全國開源漏洞數量及增速

資料來源：國家互聯網應急中心、智研咨詢整理

    2020年發(fā)布的開源漏洞中未被CVE官方收錄漏洞有1362個，占2020年發(fā)布漏洞總數的 23.78%；CVE官方未收錄數據呈上漲趨勢，增長率逐年遞增，2018年環(huán)比2017年增長速度達 133.52%。

2015-2020年CVE官方未收錄開源漏洞情況

資料來源：國家互聯網應急中心、智研咨詢整理

    相關報告：智班咨詢發(fā)布的《2021-2027年中國軟件行業(yè)市場發(fā)展?jié)摿巴顿Y盈利分析報告》

    2020年，全國高危及以上開源漏洞數量3193個，較上年減少571個，同比下降15.17%；其他開源漏洞數量2535個，較上年1175個，同比下降31.67%。

2015-2020年高危及以上開源漏洞數量

資料來源：國家互聯網應急中心、智研咨詢整理

    按漏洞危害等級分，我國高危及以上漏洞占比逐年遞增，2020 年，超危漏洞占比為 8.83%，高危漏洞占比為46.91%，占2020年新增漏洞超五成，中危漏洞占比為40.5%，低危漏洞占比為3.67%。

2020年漏洞危害等級占比

資料來源：國家互聯網應急中心、智研咨詢整理

    按缺陷類型分，缺陷類型CWE-79數量多達824個，占2020年新增開源漏洞的14.39%；其次CWE-506數量726個，占2020年新增開源漏洞的12.67%；CWE-400數量510個，占2020年新增開源漏洞的8.90%；CWE-200數量305個，占2020年新增開源漏洞的5.32%。

2020年開源漏洞TOP10 CWE缺陷類型

資料來源：國家互聯網應急中心、智研咨詢整理

    二、發(fā)展措施

    隨著開源趨勢的不可逆以及開源軟件在商業(yè)軟件中占的比重越來越高，開源軟件儼然已經成為軟件開發(fā)的關鍵基礎設施，因此開源軟件的安全問題應該上升到國家安全的角度來對待。

開源軟件漏洞風險控制措施

資料來源：智研咨詢整理