Black Duck发布的报告显示，商业代码库中广泛使用高风险和过时的开源组件，导致安全漏洞频发。报告分析了16个行业的965个商业代码库，发现绝大多数代码库包含开源组件，且超过八成包含易受攻击的组件，过时的jQuery库漏洞尤为突出。应用程序中的平均开源文件数量显著增加，高危或严重漏洞普遍存在。传递依赖项加剧了风险，许可证冲突也可能引发法律问题。组织应关注项目网站和代码库，使用自动化监控工具等方式，及时了解高危漏洞，主动管理和修复已知漏洞。

⚠️**高危漏洞普遍存在**：86%的代码库包含易受攻击的开源组件，81%的代码库包含高危或严重漏洞，开源文件数量大幅增加，安全风险日益严峻。

🛡️**jQuery库漏洞突出**：十大最常见的高危漏洞中有八个出现在jQuery JavaScript库中，超过三分之一的代码库存在跨站脚本（XSS）漏洞，即使补丁早已发布，仍然广泛存在。

🔗**传递依赖风险加剧**：64%的开源组件是传递依赖项，近一半的高危和严重漏洞源于传递依赖项。传递依赖不仅带来安全风险，还可能引发许可证冲突等法律问题。

📅**开源组件更新滞后**：90%的代码库使用超过四年未更新的开源组件，开源组件版本严重落后，未能及时修复已知漏洞，增加了安全风险。

IT之家 2 月 26 日消息，根据 Black Duck 发布的《2025 开源安全和分析报告》，商业代码库中广泛使用高风险和过时的开源软件组件，导致安全漏洞频发。

IT之家注：该报告分析了 16 个行业的 965 个商业代码库，发现 97% 的代码库包含开源组件，86% 的代码库包含易受攻击的开源组件，过时的 jQuery 库漏洞尤为突出，此外依赖关系复杂化和许可证冲突加剧了风险。

自 2020 年以来，每个应用程序中的平均开源文件数量增加了两倍，从 5386 个跃升至 16082 个，81% 的代码库包含高危或严重漏洞。

十大最常见的高危漏洞中有八个出现在 jQuery JavaScript 库中，超过三分之一的代码库存在 CVE-2020-11023 和 CVE-2020-11022 这两个跨站脚本（XSS）漏洞。这些漏洞的补丁早在 2020 年 4 月就已发布，但仍广泛存在于商业代码库中，凸显了过时开源软件的风险。

64% 的开源组件是传递依赖项，近一半的高危和严重漏洞源于传递依赖项。这种多层依赖关系也带来了法律风险，近 30% 的许可证冲突来自传递依赖项。总体而言，56% 的代码库存在许可证冲突，可能引发法律问题并导致产品上市延迟。

90% 的代码库使用超过四年未更新的开源组件，91% 使用两年内未进行新开发的组件，90% 使用比最新版本落后 10 个以上版本的组件。

Black Duck 建议组织通过关注项目网站和代码库、使用包管理器、自动化监控工具和版本跟踪工具等方式，及时了解高危漏洞。虽然保持所有软件组件 100% 最新可能不切实际，但主动管理和修复已知漏洞至关重要。