《Black Duck：2026年度开源安全与风险分析报告（44页）.pdf》由会员分享，可在线阅读，更多相关《Black Duck：2026年度开源安全与风险分析报告（44页）.pdf（44页珍藏版）》请在三个皮匠报告上搜索。

1、2026年度开源安全与风险分析报告AI时代的软件治理目录欢迎阅读2026年度OSSRA报告.1软件编写方式已发生变革.2攻击面不断扩大.3关于今年的数据 .4方法.4涵盖的行业.5Black Duck KnowledgeBase知识库.5数据收集周期.5主要调查结果 .6代码库越来越复杂.7我们如何识别开源组件 .7安全风险：漏洞.8了解驱动因素.9高风险漏洞.102025年的主要漏洞.10供应链攻击：2025年回顾.11AI模型风险：新兴攻击面.13不同行业的漏洞模式.15法律和IP风险：许可.16许可冲突达到历史高位.16了解许可冲突.17为何许可冲突日益增多.172,675个冲突的调查结

2、果.18十大开源许可证 .18许可证风险类别.19AI许可证挑战.19没有许可证的组件.20不同行业的许可证冲突.21务实的许可证治理.21过时组件管理和维护债务.2290%的问题.22僵尸组件问题.23最新版本保持.23更新问题.24欧盟 网络弹性法案(CRA).24对组件治理的影响.28不同行业的维护模式.29规范的价值.30昨日已逝：生活在AI时代.31AI编码的普及程度：规模.31治理差距.32影子AI.33结论和建议：应对开源风险.36数据告诉我们什么.36组织需要什么.36Black Duck应用安全产品组合.37Signal全新上市：Black Duck产品组合的进化式补充.39

3、开始.40关于Black D|1欢迎阅读2026年度OSSRA报告开源安全和风险分析(OSSRA)报告十年来一直是业界评估开源代码状况的权威参考。每年，我们都会分析Black Duck审计服务团队对商业代码库进行审计后所获得的匿名结果，这为我们提供了无与伦比的真实视角，让我们能够了解开源在各个主要行业的使用现状，以及某些不当使用的情况。今年的报告发现了一个关键转折点：AI辅助开发的迅猛发展已从根本上改变了软件风险格局，并重塑了诸如欧盟 网络弹性法案(CRA)和 数字运营弹性法案(DORA)等新法规的合规基线。|2软件编写方式已经改变每个代码库中的开源漏洞平均数量已翻了一倍不止。许可证冲突激增至

4、OSSRA历史上最高水平，这主要是由第三方依赖项的大量增加所致。目前，平均每个代码库包含超过8.4万个文件，这一数字在短短五年内翻了四倍。这些调查结果的紧迫性已在真实攻击数据中得到印证：在Black Duck 2025年调查的组织中，65%表示在过去一年内遭遇过软件供应链攻击。这些活跃的威胁正在影响各个行业的组织。传统的应用安全方法只适用于以人类速度手动编写代码的世界。如今，AI生成的代码正以前所未有的规模使用开源软件，这加快了软件开发速度，但AppSec团队难以跟上这种步伐。AI编码助手 如GitHub Copilot、Cursor、Claude Code和Windsurf等工具 现已成为开

5、发人员工具包中与编译器或调试器同等重要的基础工具。Black Duck研究发现，67%的组织已经开始使用AI驱动的编码助手。另外，在禁止开发人员使用AI编码辅助工具的公司中，有76%的公司承认，开发人员无视公司规定在偷偷使用这些工具。AI编码助手已经成为开发人员工具包中与编译器或调试器同等重要的基础工具。本报告所列出的挑战并非由AI编程工具本身造成，而是由它们所实现的规模和速度所致。检测这些工具在供应链中的使用情况是每个组织都需要持续应对的挑战。正如开源改变了软件开发一样 如今它已成为软件开发过程中不可或缺的一部分 AI辅助编码也将继续存在下去。本报告为您了解开源领域的现状及其对贵组织的安全、

6、法律和运营风险状况的影响提供了所需数据。我们希望为您提供必要的洞察，助力您在不断演变的环境中做出明智决策。在Black Duck 2025年的调查中，65%的组织表示在过去一年内遭遇过软件供应链攻击。在那些禁止开发人员使用AI编码辅助工具的公司中，有76%的公司承认，开发人员无视公司规定在偷偷使用这些工具。65%76%|3攻击面不断扩大每个代码库中的文件数量同比增长了74%。每个应用中的组件数量增长了30%。在Linux内核团队2024年决定成为CVE编号机构等因素的影响下，漏洞披露数量持续增加，仅这一项变化就增加了数千个与内核代码相关的新CVE条目。结果，安全团队需要评估、排序和修复的漏洞数