近日 Sonatype 發布了“2018年開源安全與風險分析”報告，該報告顯示開源應用有大幅增長，在檢測的應用中有96％包含開源組件，同時包含漏洞的軟件數量也在不斷增加。隨著開源產業不斷發展，目前軟件安全問題亟需得到關注。

報告顯示，在每個行業的應用程序中都發現了存在漏洞的開源組件，其中互聯網和軟件基礎架構以67％的比例，在包含高危漏洞應用的行業排行中居***位。而諷刺的是，網絡安全行業中竟然有41％的應用程序被發現存在高危漏洞，在排行中位居第四。審計代碼庫中超過54％的漏洞是高危級別的，其中17％的代碼庫包含 Heartbleed、Logjam、Freak、Drown 與 Poodle 等知名漏洞。

“根據我們的研究，我們知道即使是世界上***、最成功的公司也會構建出不安全的代碼，例如，財富全球100強中有57％下載了 Apache Struts 已知帶有漏洞的版本進行開發。“Sonatype 副總裁 Derek Weeks 說。由于開源軟件的普遍使用，一旦軟件存在漏洞，那么采用該開源軟件的產品也將變得危險，報告中也清楚地表明，就像使用含有漏洞的 Struts 的例子，各組織正在不斷往其代碼庫中積累越來越多的漏洞。

Weeks 繼續說到：“我們從未如此依靠免費開源組件來加速開發。但是我們需要關注到采用開源軟件時的安全問題，不能一味求效率。“