Black Duck：86% 商业代码库含问题开源组件，过时 jQuery 库成最大隐患

IT之家 2 月 26 日消息，根据 Black Duck 发布的《2025 开源安全和分析报告》，商业代码库中普遍存在使用风险较高且过时的开源软件组件，从而导致安全漏洞频繁发生。

IT之家指出：该研究分析了来自16个行业的965个商业代码库，结果显示有97%的代码库包含开源组件，86%的代码库含有易受攻击的开源组件，尤其是过时的 jQuery 库漏洞问题尤为突出。此外，复杂的依赖关系和许可证冲突加剧了风险。

自2020年起，每个应用程序中平均开源文件数量增长了两倍，从5386个增至16082个，81%的代码库存在高危或严重漏洞。

前十名最常见的高危漏洞中有八个出现在 jQuery JavaScript 库中，超过三分之一的代码库存在CVE-2020-11023和CVE-2020-11022等两个跨站脚本（XSS）漏洞。尽管这些漏洞的补丁早在2020年4月就已发布，但仍广泛存在于商业代码库中，凸显了使用过时开源软件的风险。

64%的开源组件属于传递依赖项，近一半的高危和严重漏洞源于传递依赖项。这种多层依赖关系还带来法律风险，近30%的许可证冲突来自传递依赖项。总的来说，56%的代码库存在许可证冲突，可能引发法律问题并导致产品上市延迟。

90%的代码库使用超过四年未更新的开源组件，91%使用两年未进行新开发的组件，90%使用比最新版本落后10个以上版本的组件。

Black Duck建议组织应该通过关注项目网站和代码库、使用包管理器、自动化监控工具和版本跟踪工具等方式，及时了解高危漏洞。尽管保持所有软件组件始终保持100%更新可能并不现实，但主动管理和修复已知漏洞至关重要。

广告声明：文中包含的对外跳转链接（包括但不限于超链接、二维码、口令等形式）旨在传递更多信息，节省挑选时间，内容仅供参考。