开源披露中的失败将用户面临风险

根据一项从Ploffulf ProviderWhithOckSource的研究，根据研究，开源漏洞有50％。

根据开源安全漏洞报告的状态，2019年的超过55％的公开源漏洞被归类为“高”或“关键”严重性，Whitesource表示影响其队伍优先考虑漏洞修复的能力。

该研究发现，2019年披露的公开开源软件漏洞的数量暴涨超过6,000。使用WhiteCource数据库的研究基于报告的漏洞，组合来自美国国家漏洞数据库（NVD），安全性建议，对等漏洞数据库和开源问题跟踪器的漏洞报告。

Whitesource警告，虽然45％的报告的开源漏洞未初始向NVD报告，但许多最终会在数据库上发布。

其研究发现，只有29％的所有开源漏洞都在NVD之外最终出版。NVD中只有84％的已知开源漏洞出现。有关漏洞的信息未在一个集中位置发布，而是分散在数百个资源中，有时索引不佳 - 通常会在寻找特定数据挑战。在报告中，Whitesource警告说：“用户并不总能从社区的努力中受益。”

WhiteCource的说法，安全报告中的一个积极发展之一是Github的嵌入式披露过程，它表示可以鼓励开源项目正确地报告漏洞，而不是推动修复。

“拥有维护者本身报告漏洞也应该导致更高质量的元数据，如受影响的版本和固定版本，而不是如果第三方报告的问题，”在报告中表示的Whitesource。

该研究发现，用于开源项目的最流行的编程语言，C具有最多的漏洞。Whitesource报告了据报道的开源漏洞的比例C项目从2018年的30％上升到2019年的47％。发现Python具有开放源开发中使用的前七种语言的最低比例脆弱性，其中6％的基于Python的开源项目报告代码漏洞。

在报告中，Whitesource说：由于这种语言编写的代码大量，C仍然具有最高的漏洞。然而，这些数字是不断趋势，因为其他语言也变得流行。“

该研究发现，PHP的相对脆弱性脆弱性从2019年的15％上升到2019年的23％，即使没有证据表明它正在受欢迎。

Whitesource还报告称CWE-79（跨站点脚本），CWE-20（输入验证）和CWE-200（信息曝光）是前三名Java，JS，PHP和Python漏洞。

该研究发现，2019年，横向站点请求伪造（CSRF）和SQL注射是十大风险之一。“这可能是由于开发的开源Web项目的数量增加，它可能表明网络漏洞正在上升，我们应该注意编码时的内容，”Whitesource表示。

Whitesource敦促用户开源项目的用户了解安全风险，并确保将开源代码依赖于日期。

“开源组件已成为我们软件项目的一个组成部分。该公司表示，开放源漏洞景观似乎可能似乎复杂和具有挑战性，但有些方法可以获得弥补产品的开源组件的可见性和控制。“