2026年度开源安全与风险分析报告

DUCK"2026年度开源安全 1软件编写方式已发生变革 2 3关于今年的数据 4 4 5BlackDuckKnowledgeBase知识库 5 5 6 7 7 8 9 102025年的主要漏洞 10 11 13 15 16许可冲突达到历史高位 16 17 172,675个冲突的调查结果 18 18 19AI许可证挑战 19 20不同行业的许可证冲突 21 21 2290%的问题 22 23 23 24 24 28 29 30 31 31 32 33 36 36 36BlackDuck应用安全产品组合 37Signal全新上市：BlackDuck产品组合的进化式补充 39 40 41欢迎阅读2026年度在BlackDuck2025年的在BlackDuck2025年的况是每个组织都需要持续应对的挑战。正如开源改变了软件开发一样⃞如今它已成为软件开发过程中不可或缺的一部分⸺AI辅助编码也将继续存在下去。况是每个组织都需要持续应对的挑战。正如开源改变了软件开发一样⃞如今它已成为软件开发过程中不可或缺的一部分⸺AI辅助编码也将继续存在下去。缺陷。组织必须弄清楚，其安全方法能否足够精确地区分真正的风险和干扰项，以及安全工具能否提供必要的信息来指导修复决策。9472,8431979472,84319750月至2025年10月期间提交给BlackDuckBlackDuck审计采用多种检测方法来全面盘点开源组件。•代码指纹分析用于将文件与BlackDuckKnowledgeBase™知识库进行匹配所有的分析结果都会与BlackDuckKnowledgeBase知识库—全球最全面且经过实践检验的开本报告的调查结果基于2024年11月至2025年10月期间进行的审计，提供了有关开源使用和风险组织应如何利用BlackDuck的应用安全解决方案组合来应对这些挑战。3.23.2PB来自超过来自超过5.8万个数据源的1,000万+开源项目317,000317,000个漏洞以及63,000跟踪了跟踪了3,000个许可证20多年138%\98%138%\98%97%1,18091121,67216,08284,49948,4155021含有开源代码单个应用平均使用的OSS数量单个代码库的文件数量中位数单个代码库的文件数量平均数单个代码库的最大项目数OSSRA2026OSSRA2025OSSRA2026OSSRA2025OSSRA2026OSSRA2025OSSRA2026OSSRA2025OSSRA2026OSSRA202530%35%74%表2.开源应用及代码库增长指标ML依赖关系以及AI辅助开发速度的驱动下持续提高。OSSRAOSSRA2026平均同比增长OSSRA202516,082平均同比增长84%16%但需要更深入分析的16%的开源组件则揭露了一个重要事实。这些代码并非通过标准的包管理工具进入代码库，而是来自依据供应商依赖项的直接复制、从StackOverflow中提取或AI助手生成的代码片段、或未包含源代码的二进制组件。这些组件对于仅依赖清单文件的工具是不可见的。2024-25扫描2023-24扫描59含有至少一个漏洞的代码库单个代码库的平均漏洞总数单个代码库漏洞数量的中位数单个代码库的平均独特漏洞数单个代码库含有的最多漏洞数量107%32%54%12%BDSABDSA覆盖统计(2024.11–2025新增BDSA20,520带有已分析的CVE的BDSA7,187带有未分析的CVE的BDSA13,333表6.BlackDuck安全公告的覆盖统计BDSA覆盖范围。2024年11月至2025年10月，NVD尚未对有相应BlackDuckSecurityAdvisory(BDSA)条目的4,301个CVE进行分析。另有133个BDSA没有对应的CVE。有8,899洞的分析平均快了94天。81%78%81%78%44%48%含有高风险漏洞的代码库含有高危漏洞的代码库表7.高风险和高危漏洞趋势表8显示了代码库审计中发现的最常见漏洞。CVE/BDSA1BDSA-2021-36519983,09735%2BDSA-2025-2047(CVE-2025-27789)87096121%3CVE-2022-2588379884121%4BDSA-2020-0964(CVE-2020-11023)7912,59428%5BDSA-2020-0686(CVE-2020-11022)7882,58828%6BDSA-2019-1138(CVE-2019-11358)7452,41527%7BDSA-2014-00636722,17925%8BDSA-2017-2930(CVE-2015-9251)6512,13525%9BDSA-2024-3717(CVE-2024-37890)63272121%10BDSA-2015-05675711,84123%表8.2025年最常见的十大CVE和BDSA重要发现：BDSA-2025-2047(CVE-2025-27789)是2025年的新条目，在其披露的第一年就出现在超对于BlackDuck在开源生态系统中识别出的恶意软件包：•34%是被劫持的合法软件包⸺它们在获得社区信任后被维护者账户接管或恶意提交等手段遭到破坏PhantomRaven和ShaiHulud）表明，每周下载量超26亿次的npm注册表的信任模型能够被大规模滥用。击不同，PhantomRaven直接针对依赖解析机制本身。PhantomRaven软件包在静态检查时看起来——供应链攻击不仅限于寻求经济利益的犯罪分子。2025年，朝鲜国家支持的Lazarus组织对金融和加密货币领域发动了猛烈Lazarus向npm和PyPI发布了100多个恶意软件包，这些软件包通常伪装成用于管理加密货币钱包或连接银行API的工具。该组2025年的供应链攻击揭示了几个发人深省的事实。AI和ML正在成为现代应用的支柱，仅在2024年，就有超过85万个模型进入了HuggingFace等平台。随着各组织将AI/ML模型纳入其软行业教育科技零售和电子商务金融服务和金融科技能源与清洁技术大数据、AI、BI和机器学习医疗保健、健康科技和生命科学制造业、工业和机器人航空航天、汽车、运输和物流电信和无线网络安全物联网营销科技企业软件/SaaS互联网和软件基础架构互联网和移动应用I计算机硬件和半导体虚拟现实、游戏、娱乐和媒体包含高风险或高危漏洞的代码库的百分比100%93%92%89%88%88%88%87%87%85%85%83%80%80%78%59%48%表9.按行业划分的漏洞情况 较高（分别为93%和92%反映了其具有广泛第三方存在许可冲突的代码库（不包括存在许可冲突的代码库（不包括组件之间的冲突）2,6751048存在许可冲突的代码库单个代码库中的最大许可冲突数量每个代码库的平均许可冲突数量每个代码库的许可冲突中位数56%OSSRA20251,10969512pt141%51%60%68%OSSRA2026OSSRA2026OSSRA2025OSSRA2026OSSRA2025OSSRA2026OSSRA202559%OSSRA2026传递性依赖一它们由传递性依赖一它们由•这是一个拥有数百个直接依赖项的大型应用•传递性依赖项又会引入它们自己的传递性依赖项对应的组件通常都遵循Apache2.0许可协议（在已确定的3,235个组件中，有2,494个代码库占比代码库占比92%MITLicenseApacheLicense2.0BSD3-ClauseBSD2-ClauseISCLicenseGenericPublicDomainGNU92%MITLicenseApacheLicense2.0BSD3-ClauseBSD2-ClauseISCLicenseGenericPublicDomainGNULGPLv2.1或更高版本CreativeCommonsZerov1.0MozillaPublicLicense2.090%85%74%61%57%48%47%46%45%12345678910表11.按代码库覆盖率排名的十大开源许可证低MIT,Apache2.0,BSD中LGPL,MPL高GPLv2,GPLv3,AGPL表12.开源许可证风险类别和义务只有54%的组织会评估AI生成代码的知识产权和许可许可证状态标准认可许可证未检测到许可证78%11%8%许可证状态标准认可许可证未检测到许可证78%11%8%表13.组件许可证状态分布AI生成的代码与开源许可的交叉部分在法律上如果基于GPL代码训练的模型产生了类似该代码的AI编码工具供应商通常不对生成代码中的IP问题承EdTechWeb重栈，JavaScript生态系统许可证JavaScript/npm生态系统，组件数量多78%74%72%71%表14.许可证冲突率最高的行业52%54%58%表15.许可证冲突率最低的行业90%的问题7%以上组件的代码库包含超过2年没有进行任何开发活动的组件的代码库包含未使用最新版本组件的代码库包含比当前版本落后10个版本以上组件的代码库OSSRAOSSRA2026OSSRA202592%90%93%91%OSSRAOSSRA2026OSSRA2025OSSRA202693%OSSRA202591%OSSRA202692%OSSRA202590%OSSRAOSSRA202645OSSRA202542表16.组件维护和运营风险指标超过90%的代码库中包0–6个月75,1898%6–12个月76,1178%12–18个月75,1488%18–24个月71,8477%24个月以上651,22268%表17.审计代码库的组件年龄分布7%落后1–2个版本12%落后3–5个版本18%落后6–10个版本22%落后10个版本以上41%表18.组件最新版本保持状况一个简单的npm更新就可能带来数小时的代码重构工作。一个简单的npm更新就可能带来数小时的代码重构工作。•在确认包含数字元素的产品可能因该漏洞而被利用后的72小时内发出后续通知Log4J。还有一些项目参与开发的人员可能不到10人。92%的代码库中包含至少92%的代码库中包含至少在24小时内对可利用的漏洞做出响应。使用了不到1年的组件的百分比34%18%31%15%29%14%27%12%表19.采用最佳组件维护实践的行业对象群体中仅为57%。使用了不到1年的组件的百分比5%4%6%5%14%13%15%16%表20.采用最差组件维护实践的行业受访者百分比AI编码助手的使用情况受访者百分比13%一直（每天，集成到标准工作流中）13%31%31%23%23%18%18%4%11%从不/不允许未经验证/不受监控的使用4%11%js、date-fns或dayjs的代码—AI是根据训练数据模式进行选DevSecOps调查11%18%18%表22.影子AI的使用和治理差距OSSRAOSSRAOSSRA5年的变化20222024202624,09429,33284,499251%~700~8501,18069%~200~250581664678表23.代码库指标五年内加速增长(2022–2026)•文件数量从2023年到2024年的OSSRA增加了65%，从2024年到2025年又增加了74%。•单个代码库的漏洞在一年内增加了107%•组件数量同比增长了29.5%的⸺供应商依赖项被复制到存储库，来自StackOverflow或AI助手的代码片段，没有源BlackDuck的应用安全解决方案是专门为满足这些需求而构建的。与BlackDuckKnowledgeBase知识库进行代码指纹匹配。多种分析方法可以识别出仅通过显式扫描无法发现的开BlackDuckSCA提供：2025年底，BlackDuck针对BlackDuckSCA推出了AI模型扫描功能。BlackDuckPolaris™Platform可以跨漏洞类型完成智能优先级排序，将这些功能得以实现的原因在于BlackDuckKnowledgeBase知识库—目前最全面的开源情报库。•来自超过5.8万个数据源的1,000万+开源项目•31.7万个已知漏洞和6.3万个BlackDuck安全公告（BDSA）这个基础将BlackDuck的分析与那些依赖表面扫描或仅使用AI方法的工具区分开BlackDuckSCABlackDuckSCA全面的OSS和供应链风Polar