2026年度开源安全与风险分析报告

2026年度开源安全与风险分析报告指出，AI辅助开发从根本上改变了软件风险格局，开源代码库复杂性、漏洞数量、许可证冲突及维护债务均显著增长，同时欧盟《网络弹性法案》(CRA)等新法规对合规提出更高要求。

软件编写方式已经改变

AI编码助手普及：67%的组织已使用AI驱动的编码助手，76%禁止使用AI编码辅助工具的公司存在开发人员违规使用情况，AI生成代码加快开发速度但带来治理挑战。

代码库规模与风险增长：平均每个代码库包含超8.4万个文件，五年内翻四倍；开源漏洞平均数量翻倍，许可证冲突达历史最高，65%的组织在过去一年遭遇软件供应链攻击。

攻击面不断扩大

代码库复杂度提升：每个代码库文件数量同比增长74%，应用组件数量增长30%，漏洞披露数量因Linux内核团队成为CVE编号机构等因素持续增加。

安全评估挑战：被审计代码库平均含581个漏洞，仅依赖软件表层扫描的组织面临劣势，需结合漏洞可利用性数据、修复指南等背景信息及检测非包管理器引入开源代码的能力。

关于今年的数据

分析范围：基于2024年11月至2025年10月Black Duck审计服务团队数据，涉及947个代码库、2843个独立项目、197项并购交易，单个代码库最大关联项目数50个。

知识库与行业覆盖：Black Duck KnowledgeBase涵盖3.2PB开源软件元数据和档案、1000万+开源项目、31.7万个漏洞等；分析代码库涉及17个行业，“企业软件/SaaS”占比最大，“能源和清洁科技”占比翻倍。

主要调查结果

开源采用普遍：98%的审计代码库包含开源组件，每个组织依赖开源维护者的安全实践、许可决策及组件持续可用性。

代码库复杂性增长：代码库文件数量中位数从16082个增长到21672个，增长35%，84%的开源组件通过自动检测识别，16%需深入分析，仅依赖清单扫描会遗漏近六分之一组件。

安全风险：漏洞

漏洞数量激增：单个代码库平均漏洞数增加107%，平均581个，平均独特漏洞数237个，中位数78个，存在长尾漏洞增长至近3.9万个的异常值。

驱动因素：组件数量同比增加30%（从911个到1180个），AI编码助手推荐常用库、开发速度加快，漏洞披露加速（如Linux内核CVE条目从2023年290个增至2024年3500多个）。

高风险漏洞情况：78%的代码库含高风险漏洞，44%含高危漏洞，jQuery相关漏洞持续主导，新漏洞BDSA-2025-2047(CVE-2025-27789)披露第一年影响超20%代码库。

供应链攻击：2025年回顾

攻击现状：65%的组织在过去一年遭遇软件供应链攻击，开源生态系统中66%的恶意软件包通过域名仿冒等手段损害用户，34%为被劫持的合法软件包。

典型攻击案例：2025年9月npm遭遇复杂供应链攻击（PhantomRaven和Shai Hulud），Shai-Hulud实现自传播；React2Shell漏洞利用架构复杂性；Lazarus集团发布恶意软件包攻击金融和加密货币领域。

AI模型风险：新兴攻击面

模型应用与风险：49%的组织将开源AI/ML模型纳入发布软件，AI模型存在故意掩饰、不声明、从源头修改等治理挑战，带来许可复杂性、监管压力和供应链透明度问题。

不同行业的漏洞模式

高风险行业：“教育科技”代码库100%含高风险或高危漏洞，“零售和电子商务”93%，“金融服务和金融科技”92%，主要因资源限制、代码库复杂、监管限制更新速度。

低风险行业：“计算机硬件/半导体”59%，“虚拟现实/游戏/娱乐/媒体”48%，因依赖选择机制可控、开发周期长、专有代码多。

法律和IP风险：许可

许可冲突高位：68%的审计代码库存在许可冲突，为OSSRA历史最高，单个代码库平均许可冲突104个，最大冲突数量2675个，59%的代码库存在直接影响分发能力的冲突。

冲突原因与模式：组件数量增加30%导致许可证交互复杂性指数级增长，64%的开源组件为传递性依赖；常见冲突模式包括著佐权与专有分发冲突、许可证版本不兼容等。

AI许可证挑战：AI编码助手可能引入限制性许可证代码，存在“许可证洗白”问题，仅54%的组织评估AI生成代码的IP和许可风险，法律问题待解决。

无许可证组件风险：8%的组件未检测到许可证，11%为自定义或修改许可证，存在严重法律风险和审查负担。

过时组件管理和维护债务

维护债务普遍：92%的代码库含过期4年以上组件，93%含2年无开发活动组件，93%未使用最新版本组件，92%含落后10个版本以上组件，组件年龄中位数45个月。

僵尸组件问题：93%的代码库含两年多无开发活动的“僵尸组件”，发现漏洞后面临复刻维护、寻找替代或接受风险的选择，68%的组件使用两年以上。

欧盟《网络弹性法案》（CRA）

法案要求与影响：CRA 2024年12月生效，2026年9月漏洞报告强制，2027年12月全面生效；要求产品无已知漏洞、支持期内有效处理漏洞、10年安全更新和文档访问，制造商需创建维护SBOM，面临严格处罚。

对组件治理影响：组织需了解组件生命周期、持续跟踪状态、维护SBOM、建立漏洞响应流程，92%代码库存在严重维护债务问题，合规任务艰巨。

昨日已逝：生活在AI时代

AI编码普及：44%的DevSecOps专业人员经常或一直使用AI编码助手，89.3%的嵌入式软件组织有开发人员使用，97%的组织在开发流中使用开源AI模型，49%将其集成到交付软件。

治理差距与影子AI：仅24%的组织对AI生成代码进行全面评估，存在“影子AI”问题，11%的DevSecOps专业人员未经许可使用，18%的组织知晓开发人员违规使用，带来未知风险。

发展速度与未来前瞻：代码库文件数量、组件数量、漏洞数量等指标加速增长，与AI编码助手普及时间吻合；组织需建立明确AI治理机制、集成安全到工作流、保持可视和全面评估。

结论和建议：应对开源风险

数据启示：软件领域格局根本变化，开源组件、漏洞、许可证冲突、维护债务均大幅增长，AI辅助开发加快速度，组织需具备管理大规模开源风险的能力。

组织需求：需深度分析能力（检测非标准方式引入的组件）、CVE外情报（BDSA）、许可证可视化、运维意识、工作流集成、AI模型风险洞察。

Black Duck解决方案：Black Duck SCA提供全面开源分析，Polaris Platform统一安全功能，Black Duck Assist提供AI指导，Signal引入AI原生功能，基于KnowledgeBase知识库提供准确情报。

2026年度开源安全与风险分析报告.pdf

电信和互联网软件供应链安全 软件产品供应链安全要求.pdf

ENISA：网络安全市场分析框架 V3.0.pdf

通信行业信息安全托管运营服务实施指南.pdf

网络安全演练方法论.pdf

网络安全与取证技术的前沿进展及应用.pdf

网络安全风险管理实践.pdf

2025年度网络安全应急响应总结报告.pdf

网络安全运营.pdf

网络安全运营大模型参考架构.pdf

开源安全治理最佳实践（2026）.pdf

健康医疗信息零信任安全访问控制应用规范.pdf

网络安全威胁态势评估方法论.pdf

纵深防御：现代网络安全策略和不断演变的威胁.pdf

网络安全服务责任及损失评估标准.pdf

全球网络安全政策法律发展年度报告（2025）.pdf

2026网络供应链攻击的影响及缓解策略.pdf

安全运营中心：网络安全路线图.pdf

来源：Black Duck