近日，Synopsys公司的黑鴨軟件（Black Duck Software）發布了開源安全與風險分析（OSSRA）年度報告，報告對2018年以來1200多個商業代碼庫的匿名數據進行了分析和研究。對當今的企業來說，開源軟件、庫和組件往往起著重要的作用。開源代碼採用率高有許多原因，其中包括開源社區的許多程序員願意為項目貢獻時間、項目代碼的透明性、以及比開發內部系統更少的實現時間等。

在黑鴨審查的所有代碼庫中，有96% 包含了開源組件，而大多數沒有開源代碼的代碼庫其實包含不到1000 個文件。在超過1000 個文件的代碼庫中，開源代碼的採用率高達99%。

開源代碼有著它的安全優勢，但也存在著安全漏洞未修補的隱患，開發人員可能沒意識到項目正在被安全漏洞影響。在報告審查的代碼庫中，至少包含一個漏洞的代碼庫佔60% ，這個數字比2017 年統計的結果78% 有所下降。

黑鴨認為，發現的漏洞有40% 都是關鍵級的。“事實上，開源並不總是更安全。”報告指出，無論項目源碼是專有的還是開源的，都可能因為漏洞的存在，安全性變得薄弱。項目人員應該及時加以識別和修補這些漏洞。

報告中發現漏洞的平均“年齡”為6.6歲。其中，最老的CVE-2000-0388是FreeBSD libmytinfo庫中的緩衝區溢出漏洞，在28年前被披露。報告結果顯示，有43%的代碼庫包含一個超過10年的bug。這表明不少企業可能沒意識到開源的用處，也沒有對組件目錄進行系統管理，這些軟件沒有打新的補丁，更容易被攻擊。

“一般只有少數開源漏洞，比如那些影響ApacheStruts 或OpenSSL 的漏洞，有可能被廣泛利用。”研究人員表示，項目組織應該把他們的開源漏洞管理和緩解工作的重點放在cvss 評分和漏洞的可用性上，在關注“0day” 的同時，也應該關注開源組件的生命週期。