开源组件

《漏洞及投毒情报应用实践指南》发布 2025 年，明确存在恶意行为的开源包超过 5 万个；蠕虫化投毒事件能在 24 小时内波及上万仓库；NVD 中 30% 以上的影响范围标注存在错误或缺失，直接扫描修复只会把研发淹没在误报里；漏洞从公开披露到攻击者开始利用，窗口已从”天”压缩至”小时&#822…

《开源安全治理最佳实践2026版》发布 2025年，新增开源漏洞42万+条，日均超过1,000个；59,000+个恶意投毒组件被识别，增幅超50%；53%的企业代码库存在许可证冲突；攻击者5天内开始扫描，企业修复却平均需要55天。 这组数据背后，反映的不是单一漏洞管理问题，而是一个更加系统性的现实：当开源成为软件底座，开源安全治理能力也必须成为企业安全建设的…

漏洞描述 12月4日，React 与 Next.js 官方披露了两个与 React Server Components（RSC）相关的远程代码执行严重漏洞：CVE-2025-55182（React） 与 CVE-2025-66478（Next.js），其根因都是由于react-server-dom系列的三个实验性对Flight协议的反序列化实现不当，这些组件…

导语近日，腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性，可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时，会导致PC/服务器被入侵，同时在大模型预训练、微调等场景中，最终还可能导致大模型参数被窃取或篡改。 朱雀在此建议大家及时排查，同时也将持续进行大模型基础设施安全研究，…

文章更新时间：2023-10-07 20:10 组件简介 维护者 retrofit 组织 许可证类型 Apache-2.0 首次发布 2013 年 5 月 13 日 最新发布时间 2020 年 5 月 20 日 GitHub Star 42038 GitHub Fork 7342 依赖包 1,998 依赖存储库 106,820 Retrofit是一个网络访问…

文章更新时间：2023-09-28 11:20 组件简介 维护者 unicode-org 组织 许可证类型 Unicode-TOU,ICU 首次发布 2006 年 2 月 21 日 最新发布时间 2023 年 6 月 13 日 GitHub Star 2136 GitHub Fork 692 依赖包 699 依赖存储库 6,271 com.ibm.icu:i…

文章更新时间：2023-09-28 11:23 组件简介 维护者 itext 组织 许可证类型 AGPL-3.0 首次发布 2011 年 4 月 29 日 最新发布时间 2022 年 2 月 25 日 GitHub Star 1524 GitHub Fork 447 依赖包 340 依赖存储库 7,964 com.itextpdf:itextpdf 是一个用…

文章更新时间：2023-09-28 11:25 组件简介 维护者 json-path 组织 许可证类型 Apache-2.0 首次发布 2011 年 2 月 7 日 最新发布时间 2023 年 3 月 26 日 GitHub Star 8241 GitHub Fork 1613 依赖包 1,481 依赖存储库 37,608 com.jayway.jsonpa…

文章更新时间：2023-09-27 17:50 组件简介 维护者 hazelcast 组织 许可证类型 Apache-2.0 首次发布 2009 年 2 月 27 日 最新发布时间 2023 年 8 月 21 日 GitHub Star 5572 GitHub Fork 1779 依赖包 595 依赖存储库 10,433 Hazelcast是一种内存数据网格…

文章更新时间：2023-09-27 16:50 组件简介 维护者 hankcs 个人 许可证类型 Apache-2.0 首次发布 2015 年 5 月 2 日 最新发布时间 2023 年 2 月 25 日 GitHub Star 30340 GitHub Fork 8757 依赖包 41 依赖存储库 660 com.hankcs:hanlp 是一个面向生产环…