平均每个软件项目存在 69 个已知开源软件漏洞。
分析发现,在 3354 个国内企业软件项目中,存在已知开源软件 漏洞的项目有 2897 个,占比高达 86.4%;存在已知高危开源软件漏 洞的项目有 2680 个,占比为 79.9%;存在已知超危开源软件漏洞的 项目有 2400 个,占比为 71.6%。
本年度报告中还针对漏洞的利用难度进行了分析,综合漏洞的 POC/EXP 情况以及 CVSS 可利用性指标等因素,我们将漏洞的利用难 度分为容易、一般、困难。容易利用的漏洞风险极高,需要被及时修补。在分析的 3354 个项目中,存在容易利用的漏洞的项目有 2581 个, 占比高达 77.0%。
在 3354 个国内企业软件项目中,共检出 231368 个已知开源软件 漏洞(涉及到 7269 个唯一 CVE 漏洞编号),平均每个软件项目存在 69 个已知开源软件漏洞,略高于去年报告中的 66 个,最多的软件项目 存在 1555 个已知开源软件漏洞。
从漏洞的影响度来分析,影响范围最大的开源软件漏洞为 CVE2022-22965,存在于 31.7%的软件项目中。
容易利用的漏洞更易被用来发起攻击,这类漏洞风险极高。相关数据可知Apache Log4j2 的“Log4Shell”漏洞(CVE-2021-44228) 排在容易利用的漏洞影响度第 10 名。
分析发现,与 2020 年结果一样,部分软件项目中仍然存在十几 年前公开的古老开源软件漏洞,最古老的漏洞是 2005 年 8 月公开的 CVE-2005-2541,仍然存在于 13 个项目中。
