Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
开源软件推进联盟
《2022中国开源发展蓝皮书》意见征集
提交
65bb3854
《
《2022中国开源发展蓝皮书》意见征集
项目概览
开源软件推进联盟
/
《2022中国开源发展蓝皮书》意见征集
通知
75
Star
16
Fork
12
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
1
列表
看板
标记
里程碑
合并请求
0
DevOps
流水线
流水线任务
计划
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
《
《2022中国开源发展蓝皮书》意见征集
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
1
Issue
1
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
DevOps
DevOps
流水线
流水线任务
计划
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
流水线任务
提交
Issue看板
提交
65bb3854
编写于
5月 25, 2022
作者:
《新程序员》编辑部
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
Update 第8章 中国开源发展的机遇和挑战.md
上级
3a1c921a
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
5 addition
and
4 deletion
+5
-4
《2022中国开源发展蓝皮书》非最终版/第8章 中国开源发展的机遇和挑战.md
《2022中国开源发展蓝皮书》非最终版/第8章 中国开源发展的机遇和挑战.md
+5
-4
未找到文件。
《2022中国开源发展蓝皮书》非最终版/第8章 中国开源发展的机遇和挑战.md
浏览文件 @
65bb3854
...
...
@@ -46,11 +46,12 @@
而GitHub官方数据显示,2018年新增开源漏洞数也创下近6年新高,新增 7563 个漏洞, 2019年与 2020 年增长率略有下降,2020年发布的漏洞数较 2019 年发布漏洞数少了1746条。具体数据如图1。
11111111111
![](
https://img-blog.csdnimg.cn/e366d7395bd54c59b2eb300b9e2e2460.png
)
<br/>
*开源漏洞时间分布*
奇安信代码安全实验室《2021中国软件供应链安全分析报告》显示,截至2020年底,CVE/NVD、CNNVD、CNVD等公开漏洞库中共收录开源软件相关漏洞41342个,其中5366个为2020年度新增漏洞。而在奇安信代码安全实验室审计的2557个国内企业软件项目中,存在已知开源软件漏洞的项目有2280个,占比高达89.2%;存在已知高危开源软件漏洞的项目有2062个,占比为80.6%;存在已知超危开源软件漏洞的项目有1802个,占比为70.5%。这些项目中,共检出168604个已知开源软件漏洞(涉及到4166个CVE漏洞编号),平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。而从漏洞的影响角度来看,最多的Spring Framework安全漏洞CVE-2020-5421影响了44.3%的软件项目,多个漏洞影响了超过30%的项目。输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。在2020年检测的1364个开源软件项目中,十类典型安全缺陷的总体检出率为56.3%,每类典型缺陷的检出率及排名如表1所示。
1111111111111
![](
https://img-blog.csdnimg.cn/81f313413e9147aebcbfe7884a79b3a2.png
)
<br/>
*基于Log4j 2漏洞的攻击数量迅速上升*
开源软件漏洞影响范围巨大。
...
...
@@ -61,9 +62,9 @@
据Check Point Research统计漏洞爆发4天(自12月10日至12月13日)情况报告,在Apache Log4j 2漏洞发现早期的12月10日,黑客尝试利用该漏洞进行攻击的次数仅有几千次,但这一数据在隔天却增至4万次。而漏洞爆发72小时后,捕捉到利用该漏洞尝试攻击的行为就已超过83万次,如下图所示。
111111111111
![](
https://img-blog.csdnimg.cn/3b5abc2556564468b7fd28308d41e944.png
)
<br/>
*基于Log4j 2漏洞的攻击数量迅速上升*
不仅攻击次数在持续攀升,基于该漏洞的新变种也在短时间内迅速衍生。Log4j 2作为一个基于Java的日志框架影响范围之广远超开发团队的预想,全球近一半企业因为该漏洞受到了黑客的试图攻击。并且由于Apache Log4j 2应用范围大、漏洞修复较为复杂,而利用漏洞却十分简便,因此这Apache Log4j 2漏洞很可能在未来几年内也将一直存在。
不仅攻击次数在持续攀升,基于该漏洞的新变种也在短时间内迅速衍生。Log4j 2作为一个基于Java的日志框架影响范围之广远超开发团队的预想,全球近一半企业因为该漏洞受到了黑客的试图攻击。并且由于Apache Log4j 2应用范围大、漏洞修复较为复杂,而利用漏洞却十分简便,因此这Apache Log4j 2漏洞很可能在未来几年内也将一直存在。
### 8.2.2 开源面临法律风险
**开源许可证法律效力有待进一步明确。**
...
...
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录