2025开源安全深度解析:CVE审核新低,恶意软件激增69%
GitHub安全实验室发布2025年开源漏洞趋势报告:已审核公告四年最低,npm恶意软件激增69%,CVE发布量增长35%。深入分析CWE分类变化、EPSS与CVSS优先级策略,为安全团队提供数据驱动的漏洞响应建议。
⛓️ High 供应链攻击
GitHub安全实验室发布2025年开源漏洞趋势报告,显示已审核安全公告数量创四年新低,但恶意软件公告激增69%,npm生态系统成为重灾区。报告揭示了CWE分类精细化、CVE发布量增长35%等关键变化,为安全团队优化漏洞优先级和响应策略提供了数据驱动洞察。
来源:GitHub Security Lab | 0 | 原文链接
🔍 关键发现
- GitHub在2025年发布了4101个已审核安全公告,为2021年以来最低,但新报告漏洞同比增长19%,审核下降主要源于旧漏洞池枯竭。
- npm恶意软件公告激增69%,创历史新高,主要受大规模恶意软件活动(如SHA1-Hulud)驱动。
- CWE分类更精确,无CWE的公告减少85%,资源耗尽(CWE-400/770)、不安全反序列化(CWE-502)和SSRF(CWE-918)显著增多。
⚔️ 攻击链分析
1. 攻击者向npm发布含有恶意代码的包(如SHA1-Hulud活动)。 2. 开发者依赖该包后,恶意代码在构建或运行时执行。 3. 攻击者窃取凭证、安装后门或执行其他恶意操作。
🚩 失陷指标 (IOC)
npm恶意包名称(SHA1-Hulud相关)恶意npm包版本号
🛡️ 缓解建议
- ✅ 启用Dependabot恶意软件告警功能,自动检测npm依赖中的已知恶意版本。
- ✅ 创建仓库安全策略并启用私有漏洞报告,简化安全研究者的协调流程。
- ✅ 结合CVSS和EPSS评分,优先修复CISA已知利用漏洞目录中的高危漏洞。
涉及漏洞:[]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 2025年GitHub审核公告下降是否意味着漏洞减少?
不,新报告漏洞同比增长19%,审核下降是因为旧漏洞(早于数据库创建)已基本审核完毕,并非漏洞数量减少。
❓ 哪些CWE类型在2025年增长最显著?
CWE-863(授权不当)因重新分类而跃升,CWE-400/770(资源耗尽)、CWE-502(反序列化)和CWE-918(SSRF)异常常见。
❓ 如何利用EPSS和CVSS进行优先级排序?
CVSS评估固有严重性,EPSS预测利用概率。结合两者,优先处理CVSS高/严重且EPSS得分高的漏洞,尤其关注CISA KEV目录中的漏洞。