国内企业软件开发中开源软件应用状况分析

存在容易利用的开源软件漏洞的项目占比大幅下降。

1、开源软件总体使用情况分析

（1）平均每个软件项目使用 166 个开源软件，再创新高与往年一样，在被分析的 1763 个国内企业软件项目中，全部使用了开源软件，使用率为 100%。平均每个项目使用了166 个开源软件，此项数据再创新高。（2）最流行的开源软件被 37.2%的软件项目使用在被分析的 1763 个国内企业软件项目中，使用最多的开源软件为 SLF4J API Module，被 656 个项目所使用，占比为37.2%，低于去年 43.6%的水平。

2、开源软件漏洞风险分析

（1）存在容易利用的开源软件漏洞的项目占比大幅下降统计发现，在被分析的 1763 个国内企业软件项目中，存在已知开源软件漏洞的项目有 1551 个，占比为88.0%；存在已知高危开源软件漏洞的项目有 1428 个，占比为 81.0%；存在已知超危开源软件漏洞的项目有 1268 个，占比为 71.9%。这三个比例均略低于去年水平，与2021 和 2020 年基本持平。 综合漏洞的 POC/EXP 情况以及 CVSS 可利用性指标等因素，我们将漏洞的利用难度分为容易、一般、困难，容易利用的漏洞风险极高。在被分析的 1763 个项目中，存在容易利用的漏洞的项目有1200个，占比为 68.1%，较前两年降幅较大。

（2）平均每个项目包含的已知开源软件漏洞数明显回落在 1763 个国内企业软件项目中，共检出146568 个已知开源软件漏洞（涉及到 13135 个唯一 CVE 漏洞编号），平均每个软件项目存在83 个已知开源软件漏洞，与去年的 110 个相比，降幅明显，但仍高于之前两年的水平。（3）影响最广的开源软件漏洞的影响范围有所减小从漏洞的影响度来分析，影响范围最大的开源软件漏洞为CVE-2023-35116，存在于 33.4%的软件项目中，比去年最高的41.9%有较大减小，说明本年度检测出的开源软件漏洞的影响范围较为分散。

（4）20 多年前的开源软件漏洞仍然存在于多个软件项目中分析发现，与往年报告结果一样，部分软件项目中仍然存在很久之前公开的古老开源软件漏洞，其中，最古老的漏洞是2001 年7月12 日公开的 CVE-2001-1267，距今已 23 年，这一时间比去年报告中的最古老开源软件漏洞的发布时间还早一年。部分古老开源软件漏洞的影响情况如下表所示，它们的发布时间距今都已超过20 年。

3、开源软件许可协议风险分析

（1）最流行的开源许可协议在46.9%的项目中使用在 1763 个被分析的国内企业软件项目中，共发现545 个开源许 38 可协议。涉及项目数最多的协议与前两年一样，依然是Apache License2.0，在 827 个项目中使用，占比为 46.9%。

（2）超 1/5 的项目使用了含有超、高危许可协议的开源软件有些类型的开源许可协议中包含了一些限制性条款，在使用过程中一旦违反这些条款，可能对企业的商业利益和声誉造成严重的损害。这些限制性条款包括如：“禁止本软件及其衍生品用于商业目的”、“禁止在未支付费用和版税的情况下将该软件用于非公开、非商业用途”、“软件发布时必须公开软件的源代码”等。奇安信代码安全实验室将限制性较为苛刻的一类协议定义为超 39 危许可协议，将限制性较大而未达到超危水平的一类协议定义为高危许可协议。在 2023 年分析的 1763 个国内企业软件项目中，存在超危许可协议的项目 124 个，占比 7.0%；存在高危许可协议的项目256个，占比 14.5%。含超危和高危许可协议的项目合计占比约为21.5%，超过1/5,高于去年约 1/6 的占比。

4、开源软件运维风险分析

开源软件运维风险复杂多样，本期报告依然从老旧开源软件的使用和开源软件多个版本混乱使用的角度进行分析。（1）多个二三十年前的老旧开源软件版本仍在使用分析发现，与前几年报告数据一致，许多软件项目中仍然在使用老旧的开源软件版本，有的版本已经超过30 年，存在极大的运维风险。被使用的老旧开源软件版本中，最早的一款是1993 年3 月3日发布的 byacc 1.9，已经发布 31 年。

（2）开源软件各版本使用依然混乱分析发现，与往年一样，开源软件版本使用混乱的状况依然非常严重，并非使用的都是最新版本。Spring Framework: Spring Core是被使用版本最多的开源软件，有 169 个版本在被使用。