研究表明开源软件包中的漏洞通常需要很长时间才能修复

北卡罗来纳州立大学研究人员的一项研究表明，开源软件包中的安全漏洞可能需要很长时间才能修复，开源软件安全漏洞通常与非安全性和重大更改捆绑在一起，并且可能会被客户项目忽视。虽然大多数开源软件包都记录了它们的安全修复，但只有 39% 明确提到了修复的安全影响。为了提高开源软件的安全性，研究人员建议软件包维护者在发布之前保持安全修复的私密性，同时使用标签、元数据和标题来标记安全版本。这将使客户项目和软件包的用户更容易发现安全版本。