企业在大量使用开源代码，但在使用开源代码时他们很少对其进行安全检查，一个不可避免的结果是他们的软件项目使用的开源组件包含了已知的漏洞。提供源码托管服务的 Sonatype 公司估计，80%到90%的企业代码实际上是由开源组件构成，是从公开代码库直接导入。Sonatype分析了3000家机构的超过2.5万企业应用，发现一家企业每年下载了5000个不同的开源组件。年代最悠久的组件有最高的几率包含安全漏洞。修正安全漏洞将需要耗费大量资金。

文章转载自 开源中国社区[http://www.oschina.net]