Update 第8章 中国开源发展的机遇和挑战.md

上级 3a1c921a
...@@ -46,11 +46,12 @@ ...@@ -46,11 +46,12 @@
而GitHub官方数据显示,2018年新增开源漏洞数也创下近6年新高,新增 7563 个漏洞, 2019年与 2020 年增长率略有下降,2020年发布的漏洞数较 2019 年发布漏洞数少了1746条。具体数据如图1。 而GitHub官方数据显示,2018年新增开源漏洞数也创下近6年新高,新增 7563 个漏洞, 2019年与 2020 年增长率略有下降,2020年发布的漏洞数较 2019 年发布漏洞数少了1746条。具体数据如图1。
11111111111 ![](https://img-blog.csdnimg.cn/e366d7395bd54c59b2eb300b9e2e2460.png)<br/>*开源漏洞时间分布*
奇安信代码安全实验室《2021中国软件供应链安全分析报告》显示,截至2020年底,CVE/NVD、CNNVD、CNVD等公开漏洞库中共收录开源软件相关漏洞41342个,其中5366个为2020年度新增漏洞。而在奇安信代码安全实验室审计的2557个国内企业软件项目中,存在已知开源软件漏洞的项目有2280个,占比高达89.2%;存在已知高危开源软件漏洞的项目有2062个,占比为80.6%;存在已知超危开源软件漏洞的项目有1802个,占比为70.5%。这些项目中,共检出168604个已知开源软件漏洞(涉及到4166个CVE漏洞编号),平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。而从漏洞的影响角度来看,最多的Spring Framework安全漏洞CVE-2020-5421影响了44.3%的软件项目,多个漏洞影响了超过30%的项目。输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。在2020年检测的1364个开源软件项目中,十类典型安全缺陷的总体检出率为56.3%,每类典型缺陷的检出率及排名如表1所示。 奇安信代码安全实验室《2021中国软件供应链安全分析报告》显示,截至2020年底,CVE/NVD、CNNVD、CNVD等公开漏洞库中共收录开源软件相关漏洞41342个,其中5366个为2020年度新增漏洞。而在奇安信代码安全实验室审计的2557个国内企业软件项目中,存在已知开源软件漏洞的项目有2280个,占比高达89.2%;存在已知高危开源软件漏洞的项目有2062个,占比为80.6%;存在已知超危开源软件漏洞的项目有1802个,占比为70.5%。这些项目中,共检出168604个已知开源软件漏洞(涉及到4166个CVE漏洞编号),平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。而从漏洞的影响角度来看,最多的Spring Framework安全漏洞CVE-2020-5421影响了44.3%的软件项目,多个漏洞影响了超过30%的项目。输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。在2020年检测的1364个开源软件项目中,十类典型安全缺陷的总体检出率为56.3%,每类典型缺陷的检出率及排名如表1所示。
1111111111111 ![](https://img-blog.csdnimg.cn/81f313413e9147aebcbfe7884a79b3a2.png)<br/>*基于Log4j 2漏洞的攻击数量迅速上升*
开源软件漏洞影响范围巨大。 开源软件漏洞影响范围巨大。
...@@ -61,9 +62,9 @@ ...@@ -61,9 +62,9 @@
据Check Point Research统计漏洞爆发4天(自12月10日至12月13日)情况报告,在Apache Log4j 2漏洞发现早期的12月10日,黑客尝试利用该漏洞进行攻击的次数仅有几千次,但这一数据在隔天却增至4万次。而漏洞爆发72小时后,捕捉到利用该漏洞尝试攻击的行为就已超过83万次,如下图所示。 据Check Point Research统计漏洞爆发4天(自12月10日至12月13日)情况报告,在Apache Log4j 2漏洞发现早期的12月10日,黑客尝试利用该漏洞进行攻击的次数仅有几千次,但这一数据在隔天却增至4万次。而漏洞爆发72小时后,捕捉到利用该漏洞尝试攻击的行为就已超过83万次,如下图所示。
111111111111 ![](https://img-blog.csdnimg.cn/3b5abc2556564468b7fd28308d41e944.png)<br/>*基于Log4j 2漏洞的攻击数量迅速上升*
不仅攻击次数在持续攀升,基于该漏洞的新变种也在短时间内迅速衍生。Log4j 2作为一个基于Java的日志框架影响范围之广远超开发团队的预想,全球近一半企业因为该漏洞受到了黑客的试图攻击。并且由于Apache Log4j 2应用范围大、漏洞修复较为复杂,而利用漏洞却十分简便,因此这Apache Log4j 2漏洞很可能在未来几年内也将一直存在。 不仅攻击次数在持续攀升,基于该漏洞的新变种也在短时间内迅速衍生。Log4j 2作为一个基于Java的日志框架影响范围之广远超开发团队的预想,全球近一半企业因为该漏洞受到了黑客的试图攻击。并且由于Apache Log4j 2应用范围大、漏洞修复较为复杂,而利用漏洞却十分简便,因此这Apache Log4j 2漏洞很可能在未来几年内也将一直存在。
### 8.2.2 开源面临法律风险 ### 8.2.2 开源面临法律风险
**开源许可证法律效力有待进一步明确。** **开源许可证法律效力有待进一步明确。**
......
Markdown is supported
0% .
You are about to add 0 people to the discussion. Proceed with caution.
先完成此消息的编辑!
想要评论请 注册