CNCERT：2021年开源软件供应链安全风险研究报告

原标题：CNCERT：2021年开源软件供应链安全风险研究报告

根据调查结果，相比 2015 年漏洞数据，近 5 年的漏洞数量均有不同程度增长。2018 年是开源项目快速增长的一年，根据 GitHub 官方数据显示，GitHub 代码仓库中超过 1/3 的开源项目创建于 2018 年，2018 年新增开源漏洞数也创下近 6 年新高，新增 7563 个漏洞，相较于 2015 年翻了 2.85 倍；2017 年漏洞增长速度最快，环比增长率为 92.86%；2019 年与 2020 年增长率略有下降，2020 年发布的漏洞数较 2019 年发布漏洞数少了 1746 条。

根据对 CVE 官方网站的统计，2020 年发布的开源漏洞中未被 CVE 官方收录漏洞有 1362 个，占 2020 年发布漏洞总数的 23.78%；CVE 官方未收录数据呈上长趋势，增长率逐年递增，2018 年环比 2017 年增长速度达 133.52%。

2020 年发布的开源漏洞中，编号为 CVE-2009-4067 的 Linux 内核的 Auerswald Linux USB 驱动程序的缓冲区溢出漏洞由 POC 披露到 NVD 首次公开时间长达 11 年。

开源软件的使用者仅关注官方漏洞库（如 NVD 等）可能无法及时获取漏洞信息，需综合考虑更多渠道的漏洞数据。

根据调查结果，近 6 年开源组件生态中漏洞数逐年递增。其中，2020 年新增漏洞数为 3426，环比去年增长 40%；2017 年增长速度最快，环比增长 49%；近 3 年增长速度呈上升趋势，2020 年新增漏洞数是 2015 年的 4.48 倍。