本报告分析了2024年11月至2025年10月期间商业代码库的审计数据,揭示了开源软件在AI时代带来的新挑战和风险。报告核心观点如下:
- 开源软件的采用速度持续加快,规模和复杂性也随之提升。 98%的代码库包含开源组件,平均每个代码库包含超过8.4万个文件,文件数量中位数增长35%。这主要归因于AI辅助开发的普及,如GitHub Copilot等工具的使用。
- 开源软件带来的安全风险日益严峻。 单个代码库的平均漏洞数增加了一倍多,达到581个,漏洞总数中位数为78个。高风险漏洞和高危漏洞分别存在于78%和44%的代码库中。65%的组织在过去一年内遭遇了软件供应链攻击,恶意软件包的威胁不容忽视。
- 开源软件的法律和IP风险不容忽视。 许可证冲突激增至历史高位,达到68%,其中59%的代码库存在许可冲突问题。AI生成代码的知识产权和许可风险尚不明确,存在法律风险。
- 过时组件管理和维护债务问题突出。 93%的代码库包含至少两年未进行任何开发活动的组件,90%的代码库包含至少使用了四年或更久的组件。这给组织带来了巨大的维护债务风险。
- AI模型风险成为新兴攻击面。 49%的组织将开源AI/ML模型包含在其发布的软件中,AI模型可以规避常规检测方式嵌入到应用中,带来了新的安全风险。
- 不同行业的漏洞模式存在差异。 教育科技、零售/电子商务和金融服务/金融科技行业的漏洞集中度较高,而计算机硬件/半导体和虚拟现实/游戏/娱乐/媒体行业的漏洞比率明显较低。
- 欧盟《网络弹性法案》(CRA)对组件治理提出更高要求。 CRA要求制造商在整个产品的支持期内有效地处理漏洞,并创建并维护一个SBOM,这给组织带来了新的合规挑战。
报告建议组织采取以下措施应对开源风险:
- 建立明确的AI治理机制,将安全集成到AI辅助的工作流中。
- 对开发人员使用工具及其生成代码情况保持可视,对AI生成的代码进行全面评估。
- 采用Black Duck的应用安全解决方案组合,包括SCA、Polaris和Assist,以获得深度开源分析、许可证合规分析、修复指导、过时信息、AI模型风险洞察等功能。
