《全球开源生态研究报告(2022年)》发布 繁荣之下暗流涌动

安全419关注到，9月16日，由中国信通院、中国通信标准化协会主办，云计算标准和开源推进委员会承办的“2022 OSCAR开源产业大会”在北京举行，大会上发布了《全球开源生态研究报告(2022年)》（以下简称“报告”）。

报告首次梳理了全球开源生态发展对数字经济的积极影响，并总结了开源对各技术领域的重要驱动。同时，从全球开源生态趋势演进、开源项目稳步增长、开源社区多态均衡发展、开源应用持续提升、开源投融资异常火热、开源风险影响凸显等多方面进行全面洞察，并结合现有形势展望了我国开源生态的发展机遇，为开源行业从业者提供重要参考。

开源作为数字经济时代一种新思维、新模式，对促进数字技术创新、优化软件生产模式、赋能传统行业转型升级、推动企业降本增效具有重要作用，为全球数字经济高速发展注入无限活力。与此同时，开源生态繁荣发展背后，风险隐患备受关注。

2015年-2020年开源安全漏洞数量及变化趋势

代码库中的安全漏洞风险较为严重。根据Snyk和Linux基金会2022年发布的开源安全调查报告，一个应用程序开发项目平均有49个漏洞和80个直接依赖项，此外，修复开源项目漏洞所需的时间也在稳步增加。

全球重点行业开源代码库安全风险热力图

物联网、航天、互联网行业的安全风险极为突出。根据新思科技《2022开源安全与风险分析报告》显示，2021年的统计数据中包含开源漏洞的代码库最高的五个的行业有物联网、航空航天、汽车、运输和物流、互联网和移动APP。最低的三个行业为网络安全、电信和无线、互联网和软件基础架构。

 组件漏洞开源依赖传播范围

开源漏洞传播性风险非常严重。根据国家计算机网络应急技术处理协调中心发布的《2021年开源软件供应链安全风险研究报告》显示，原始样本中有6416个开源组件，受组件依赖关系的影响，开源漏洞一级传播一共波及801164个直接依赖组件，其影响范围扩大125倍。二级传播一共波及1109519个间接依赖组件，影响范围扩大174倍。开源模式下开源软件传播快、应用广，客观上加剧了安全漏洞传播的速度和范围，造成传染性传播的局面。

随着各行各业越来越多地使用开源代码，围绕开源合规的讨论成为焦点。软件自由保护协会诉讼Vizio违反GPL、甲骨文诉谷歌版权侵权案尘埃落定等事件表明，软件行业对于开源法务和合规的意识正在增强，开源许可证风险值得关注。

包含无许可证或自定义许可证的开源代码库占比

根据新思科技发布的《2022开源安全与风险分析报告》指出，2021年审计的代码库中有53%包含有许可证冲突的开源代码,有17%存在许可证兼容性问题。无许可证或自定义许可证问题得到改善。

开源软件供应链关系网络复杂，蕴含严重风险问题。目前，“供应链”通常牵涉数十个（甚至数千个）个体开发人员、组织机构、软件片段以及将它们交织在一起的工具、策略和程序。虽然这种趋势降低了编程人员的准入门槛、缩短了产品的上市时间，但同样也留下了严重的风险隐患，主要包括关键开源组件的可持续维护挑战。

基于此，安全419启动了软件供应链安全解决方案系列调研，邀请细分领域内代表厂商分享自身前沿观点、创新技术和最佳实践，希望为企业组织更好应对软件供应链面临的风险与挑战提供参考借鉴。

开源风险管控机制不完善，未来开源风险将进入集中暴露期。根据Snyk和Linux Foundation调查结果，只有49%的组织制定了开源软件开发或使用的风险管控策略，企业更偏向于对功能需求的验证，忽视了源代码和使用的基础开源组件的安全性。

企业未建立完整的开源软件使用管理机制，导致开发人员对开源软件基本处于“只用不说”的状态，企业更无法了解正在使用的软件系统是否包含了开源软件。一旦软件产品交付，开源软件的风险问题也将为整个信息系统的安全运营带来极大的安全挑战。

如果产业不能建立完善的开源安全审查评估和风险治理机制，开源风险事件数量将不断攀升、发生频率将不断提高、后果将越发严重。用户针对软件供应链安全所面临的问题也亟待解答，安全419近日启动了《软件供应链安全解决方案》系列访谈选题，邀请领域内代表厂商分享自身创新技术和最佳实践，希望为企业应对开源软件风险提供参考借鉴。在此，也欢迎更多具备相关能力的优秀厂商参与该选题，一同守护开源生态安全。