开源组件生态安全风险分析

开源组件生态蓬勃发展，重要原因是组件独立、可复用。组件化 可以大幅度提高开发效率、可测试性、可复用性、提升应用性能。同 时，组件化能够屏蔽逻辑，帮助迅速定位问题，易于维护和迭代更新。 组件标准化使得优质好用的组件越来越多，用户也更愿意使用，形成 一个良性循环的开源组件生态库。 开源组件被广泛使用，根据官方数据显示，Maven 仓库数据量已 达 650 万+，Nuget 仓库累计下载量超 930 亿，Rubygems 仓库累计下载 量超 712 亿，PyPI 仓库使用人数超过 49 万。 本报告选取了 CocoaPods4、Composer5、Go6、Maven7、npm 8、Nuget9、 PyPI10、Rubygems11这 8 个主流的仓库作为研究对象，分析近 6 年各仓 库新增漏洞数据，帮助解开源组件生态安全风险情况。 发现六：开源组件生态中的漏洞数呈上涨趋势，2020 年环比增长 40%  根据调查结果，近 6 年开源组件生态中漏洞数逐年递增。其中， 2020 年新增漏洞数为 3426，环比去年增长 40%；2017 年增长速度最快， 环比增长 49%；近 3 年增长速度呈上升趋势，2020 年新增漏洞数是 2015 年的 4.48 倍