开源软件供应链安全风险研究报告.docx

“ 开源”是 指源代码 、文档等 设计内容 开放的开 发模式， 是群智 协同、开放共享、持续创新的理念和生产方式。2020 年，根据 Synopsys 发布 的《开源安全和风 险分析报告》显示 ，开源使用数量占 比较高， 在教育、金融、医疗等传统行业渗透率已超过 60%，开源软件已成为企 业构建信息技术的重要选择。 开 源蓬勃发 展一方面 可以突破 技术壁垒 、推动创 新，另一 方面考 虑到 国际竞争关系错综 复杂，开源软件安 全作为软件供应链 安全的重 要环 节，面临着安全漏 洞、知识产权、软 件供应链安全等相 关风险。 在此背景下，认识和了解开源安全风险情况是至关重要的。 主要从 GitHub 热门开源软件视角出发，对开源软件安全风险进行了分析。 本报 告从全新视角带来 开源安全风险新的 发现与突破。报告 共分为五 部分 ，第一部分，首先 介绍开源漏洞的发 展现状及趋势；第 二部分， 聚焦 开源组件生态库的 安全风险；第三部 分，重点围绕组件 按依赖层 级漏 洞传播范围分析； 第四部分，对文件 级漏洞潜在安全风 险及波及 范围 进行讨论。