开源代码存在安全隐患：一个项目平均有49个漏洞

开发者安全公司 Snyk 和 Linux 基金会的研究声称，超过三分之一的组织对其开源软件的安全性没有很高的信心。 Snyk 开发者关系总监 Matt Jarvis 谈到这份报告时说：

今天的软件开发人员拥有自己的供应链——他们不是组装汽车零件，而是通过将现有的开源组件与其独特的代码拼凑在一起来组装代码。虽然这会提高生产力和创新，但它也带来了重大的安全问题。

这份史无前例的报告发现了广泛的证据，表明业界对当今开源安全的状态还很幼稚。我们计划与 Linux 基金会一起利用这些发现来进一步教育和装备世界上的开发人员，使他们能够继续快速构建，同时保持安全。

该研究声称，一个应用程序开发项目平均有 49 个漏洞和 80 个直接依赖项。此外，修复开源项目漏洞所需的时间也在稳步增加。早在 2018 年，修复安全漏洞平均需要 49 天。2021年，开发一个补丁大约需要 110 天。

该报告称，只有 49% 的组织制定了开源软件开发或使用的安全策略。而且，对于大中型公司来说，这个数字仅为 27%。大约 30% 的组织甚至承认，他们的团队中没有人直接负责，甚至没有解决开源安全问题。顺便说一句，这些公司没有专门的开源安全策略。