代碼安全和安全開發是信息安全的源頭，也是最重要的環節，但是隨著開源組件的流行，開源組件漏洞正在對安全開發構成廣泛威脅。

隨著敏捷開發和開源軟件的流行，開源組件如今是開發者的寵兒，研究顯示如今一個軟件中平均75%的軟件代碼都來自開源組件！但這些開源組件中的漏洞也帶來了巨大的安全風險。

Veracode最新發布的2017年軟件安全報告顯示，88%的Java應用包含至少一個含有漏洞的組件，容易遭受攻擊。而且由于組件（包括開源組件）往往被大量應用復用，一個組件的漏洞被挖掘利用，可導致數以千計的使用該組件的應用面臨被攻擊風險。而只有不到28%的企業會對軟件組件安全性進行常規審查。

事實上，過去12個月中對多個Java應用的回報豐厚的攻擊，根源都是流行開源商業組件中的漏洞所致。其中一個典型的例子是今年3月份爆出的Struts-Shock漏洞，根據分析，使用Apache Struts 2代碼庫的Java程序中，68%都在使用一個含有遠程代碼執行漏洞（RCE）的版本，這直接導致3500萬個網站面臨攻擊風險。

報告還顯示，大約53.3%的Java應用都在使用包含漏洞的Commons Collectins Component組件版本，即使到今天，開發者使用含有漏洞版本的比例依然沒有顯著下降。

開源組件漏洞已經成為軟件安全和開發安全最為頭疼的問題之一，根據FVeracode的SoSS報告，雖然很多企業都根據漏洞的嚴重程度安排修補優先級，但是即使是最嚴重的漏洞也很難得到高效率的修補，例如只有22%的高危漏洞能夠在30天內得到修補。而黑客和國家組織又充分的時間利用漏洞入侵企業網絡。

此報告中行業領域的軟件安全調查數據，請點擊訪問Veracode的軟件安全報告查詢信息庫。