開源漏洞信息往往散落分布在各大社區，很多漏洞信息不能及時被官方收錄。同時，對于軟件使用者，由于缺少漏洞信息跟蹤能力，使得漏洞修復具有滯后性，提升了軟件被攻擊的風險，為軟件供應鏈安全管控增加了難度。

    一、發展現狀

    近五年來，全國開源軟件漏洞整體呈增長趨勢，2018年是開源項目快速增長的一年。2020年，全國開源漏洞數量5728個，較上年減少1746個，同比下降23.36%。

2015-2020年全國開源漏洞數量及增速

資料來源：國家互聯網應急中心、智研咨詢整理

    2020年發布的開源漏洞中未被CVE官方收錄漏洞有1362個，占2020年發布漏洞總數的 23.78%；CVE官方未收錄數據呈上漲趨勢，增長率逐年遞增，2018年環比2017年增長速度達 133.52%。

2015-2020年CVE官方未收錄開源漏洞情況

資料來源：國家互聯網應急中心、智研咨詢整理

    相關報告：智班咨詢發布的《2021-2027年中國軟件行業市場發展潛力及投資盈利分析報告》

    2020年，全國高危及以上開源漏洞數量3193個，較上年減少571個，同比下降15.17%；其他開源漏洞數量2535個，較上年1175個，同比下降31.67%。

2015-2020年高危及以上開源漏洞數量

資料來源：國家互聯網應急中心、智研咨詢整理

    按漏洞危害等級分，我國高危及以上漏洞占比逐年遞增，2020 年，超危漏洞占比為 8.83%，高危漏洞占比為46.91%，占2020年新增漏洞超五成，中危漏洞占比為40.5%，低危漏洞占比為3.67%。

2020年漏洞危害等級占比

資料來源：國家互聯網應急中心、智研咨詢整理

    按缺陷類型分，缺陷類型CWE-79數量多達824個，占2020年新增開源漏洞的14.39%；其次CWE-506數量726個，占2020年新增開源漏洞的12.67%；CWE-400數量510個，占2020年新增開源漏洞的8.90%；CWE-200數量305個，占2020年新增開源漏洞的5.32%。

2020年開源漏洞TOP10 CWE缺陷類型

資料來源：國家互聯網應急中心、智研咨詢整理

    二、發展措施

    隨著開源趨勢的不可逆以及開源軟件在商業軟件中占的比重越來越高，開源軟件儼然已經成為軟件開發的關鍵基礎設施，因此開源軟件的安全問題應該上升到國家安全的角度來對待。

開源軟件漏洞風險控制措施

資料來源：智研咨詢整理