CNCERT：2021年开源软件供应链安全风险研究报告

根据调查结果，相比 2015 年漏洞数据，近 5 年的漏洞数量均有不同程度增长。2018 年是开源项目快速增长的一年，根据 GitHub 官方数据显示，GitHub 代码仓库中超过 1/3 的开源项目创建于 2018 年，2018 年新增开源漏洞数也创下近 6 年新高，新增 7563 个漏洞，相较于 2015 年翻了 2.85 倍；2017 年漏洞增长速度最快，环比增长率为 92.86%；2019 年与 2020 年增长率略有下降，2020 年发布的漏洞数较 2019 年发布漏洞数少了 1746 条。 根据对 CVE 官方网站的统计，2020 年发布的开源漏洞中未被 CVE 官方收录漏洞有 1362 个，占 2020 年发布漏洞总数的 23.78%；CVE 官方未收录数据呈上长趋势，增长率逐年递增，2018 年环比 2017 年增长速度达 133.52%。 2020 年发布的开源漏洞中，编号为 CVE-2009-4067 的 Linux 内核的 Auerswald Linux USB 驱动程序的缓冲区溢出漏洞由 POC 披露到 NVD 首次公开时间长达 11 年。 开源软件的使用者仅关