WhiteSourceは650人以上の開発者を対象に調査を実施し、全米脆弱性データベース（NVD）、セキュリティ情報、査読済み脆弱性データベース、問題追跡システムからデータを収集し、調査レポートを作成しました。レポートによると、2019年に公開されたオープンソースソフトウェアの脆弱性の数は6,000件を超え、前年比で約50%増加しました。

幸いなことに、脆弱性の 85% が公開され、対応する修正が提供されています。

しかし、報告書は、残念ながら、既知のオープンソースの脆弱性のうち、最終的にNVDに現れたのはわずか84%に過ぎなかったと指摘しています。さらに、これらの脆弱性に関する情報は一元的に公開されておらず、数百ものリソースに分散していました。そのため、インデックスが正しくない場合、特定のデータの検索はますます困難になります。

さらに、報告されたオープンソースの脆弱性の45%は、当初NVDに報告されたものではなく、NVDで公開される数か月前に他のチャネルを通じて報告されたものがほとんどでした。NVD外で報告されたオープンソースの脆弱性のうち、最終的に登録されたのはわずか29%でした。

さらに、研究者たちは、2019年に最も脆弱なプログラミング言語上位7言語と過去10年間の数値を比較しました。その結果、歴史的に最も豊富な基盤を持つC言語の脆弱性の割合が最も高かったことが示されました。PHPの脆弱性の相対的な数も大幅に増加しましたが、人気が同様に高まったという兆候は見られませんでした。一方、Pythonはオープンソースコミュニティ内での人気が継続的に高まっているにもかかわらず、脆弱性の割合は比較的低いままでした。

一方、レポートでは、共通脆弱性評価システム（CVSS）のデータがパッチ適用の優先順位付けに最適な基準であるかどうかについても検討しています。CVSSは、あらゆる組織や業界に対応できる客観的かつ測定可能な基準を実現するために、ここ数年で数回にわたり更新されてきました。しかし、その過程で、重大度の高い脆弱性の定義も変更されました。例えば、CVSS v2で7.6と分類されていた脆弱性が、CVSS v3.0では9.8と分類される可能性があり、チームはより多くの重大度の高い問題に直面することになります。現在、ユーザーの55%以上が重大度の高い、または深刻な脆弱性を抱えています。

レポートでは、オープンソースソフトウェアの脆弱性の数は2020年も増加し続けると予測されています。しかし同時に、オープンソースのセキュリティシステムをターゲットとした取り組みも進んでいます。

最後に、報告書の著者らは次のように結論づけています。「最も重要な点は、リストに記載されているオープンソースプロジェクトに脆弱性があるという事実が、それらが安全ではないことを意味するわけではないということです。これは単に、オープンソースプロジェクトのユーザーとして、セキュリティリスクを認識し、オープンソースの依存関係が最新であることを確認する必要があることを意味します。」