GitHub 2025 年安全报告指出,新报告的漏洞增加了 19%,npm 恶意软件激增 69%,且其用于发布 CVE 的 CNA 服务采用率不断提高。
📝 详细摘要
这份来自 GitHub 的年度回顾分析了 2025 年开源安全的状况。虽然由于完成了对旧漏洞的回溯填充,审查的安全公告总数有所下降,但新报告的漏洞实际上增长了 19%。报告指出,npm 恶意软件显著激增(增长 69%),并且向更具体的 CWE 标记转变,这提高了数据的可操作性。报告还比较了 CVSS 和 EPSS 评分系统,以帮助开发者优先处理风险,并详细介绍了 GitHub 作为 CVE 编号机构(CNA)不断扩大的作用——目前为非支持生态系统发布的 CVE 数量已超过了受支持的生态系统。
💡 主要观点
- 尽管审查总数下降,但漏洞报告数量仍在增加。 审查的安全公告总数下降主要是由于历史回溯填充工作的完成;然而,来自活跃源的新报告漏洞实际上同比增长了 19%。
💬 文章金句
- GitHub 实际上同比增长审查了 19% 的安全公告。
- 没有任何 CWE 的安全公告下降了 85%(从 2024 年的 452 条降至 2025 年的 65 条)。
- 2025 年是 npm 恶意软件安全公告爆发的一年……与 2024 年相比,GitHub 发布了恶意软件安全公告增加了 69%。
- 2025 年是 GitHub 为不使用受支持生态系统的组织发布的 CVE 数量,首次超过了使用受支持生态系统的组织。
📊 文章信息
AI 评分:88
来源:The GitHub Blog
作者:Jonathan Evans
分类:软件编程
语言:英文
阅读时间:6 分钟
字数:1324
标签: 开源安全, 漏洞管理, CVE, GitHub 安全公告数据库, 恶意软件