2020年中國(guó)開(kāi)源漏洞數(shù)量及發(fā)展措施分析[圖]

    開(kāi)源漏洞信息往往散落分布在各大社區(qū)，很多漏洞信息不能及時(shí)被官方收錄。同時(shí)，對(duì)于軟件使用者，由于缺少漏洞信息跟蹤能力，使得漏洞修復(fù)具有滯后性，提升了軟件被攻擊的風(fēng)險(xiǎn)，為軟件供應(yīng)鏈安全管控增加了難度。

    一、發(fā)展現(xiàn)狀

    近五年來(lái)，全國(guó)開(kāi)源軟件漏洞整體呈增長(zhǎng)趨勢(shì)，2018年是開(kāi)源項(xiàng)目快速增長(zhǎng)的一年。2020年，全國(guó)開(kāi)源漏洞數(shù)量5728個(gè)，較上年減少1746個(gè)，同比下降23.36%。

2015-2020年全國(guó)開(kāi)源漏洞數(shù)量及增速

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    2020年發(fā)布的開(kāi)源漏洞中未被CVE官方收錄漏洞有1362個(gè)，占2020年發(fā)布漏洞總數(shù)的 23.78%；CVE官方未收錄數(shù)據(jù)呈上漲趨勢(shì)，增長(zhǎng)率逐年遞增，2018年環(huán)比2017年增長(zhǎng)速度達(dá) 133.52%。

2015-2020年CVE官方未收錄開(kāi)源漏洞情況

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    相關(guān)報(bào)告：智班咨詢發(fā)布的《2021-2027年中國(guó)軟件行業(yè)市場(chǎng)發(fā)展?jié)摿巴顿Y盈利分析報(bào)告》

    2020年，全國(guó)高危及以上開(kāi)源漏洞數(shù)量3193個(gè)，較上年減少571個(gè)，同比下降15.17%；其他開(kāi)源漏洞數(shù)量2535個(gè)，較上年1175個(gè)，同比下降31.67%。

2015-2020年高危及以上開(kāi)源漏洞數(shù)量

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    按漏洞危害等級(jí)分，我國(guó)高危及以上漏洞占比逐年遞增，2020 年，超危漏洞占比為 8.83%，高危漏洞占比為46.91%，占2020年新增漏洞超五成，中危漏洞占比為40.5%，低危漏洞占比為3.67%。

2020年漏洞危害等級(jí)占比

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    按缺陷類型分，缺陷類型CWE-79數(shù)量多達(dá)824個(gè)，占2020年新增開(kāi)源漏洞的14.39%；其次CWE-506數(shù)量726個(gè)，占2020年新增開(kāi)源漏洞的12.67%；CWE-400數(shù)量510個(gè)，占2020年新增開(kāi)源漏洞的8.90%；CWE-200數(shù)量305個(gè)，占2020年新增開(kāi)源漏洞的5.32%。

2020年開(kāi)源漏洞TOP10 CWE缺陷類型

資料來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、智研咨詢整理

    二、發(fā)展措施

    隨著開(kāi)源趨勢(shì)的不可逆以及開(kāi)源軟件在商業(yè)軟件中占的比重越來(lái)越高，開(kāi)源軟件儼然已經(jīng)成為軟件開(kāi)發(fā)的關(guān)鍵基礎(chǔ)設(shè)施，因此開(kāi)源軟件的安全問(wèn)題應(yīng)該上升到國(guó)家安全的角度來(lái)對(duì)待。

開(kāi)源軟件漏洞風(fēng)險(xiǎn)控制措施

資料來(lái)源：智研咨詢整理