这里的开源组件指的是以开源许可证发布的软件组件、库、框架和工具等，组件的源代码是公开的，而根据不同的许可协议，版权所有者可以授予用户使用、研究、更改和分发软件及其源代码的权力。1703个代码库中，54%的代码库有开源协议冲突，31%的代码库包含没有协议或自定义协议的开源代码，89%的代码库包含超过4年以上未更新的开源代码，91%的代码库包含过去2年未更新的组件，84%的代码库包含至少一个开源漏洞，

accessToken 本来是为了修复2020年xxl-job 执行器executor RESTful API 未授权访问 RCE 漏洞，为了防止其未授权添加了accessToken校验，但是很多人在使用该框架的时候并未修改其默认的值xxl.job.accessToken=default_token，与之前shiro的默认key泄漏导致的RCE原理很相似。CodeQL本质上和其他的代码审计工具没什

在此基础上，【网安基地供应链安全检测中心】联合【武汉金银湖实验室】邀请国内外各大厂商以部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互以及报告输出七个维度为基准，开展“静态源代码安全扫描工具测评活动”。随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。部署环境、安全扫描、漏洞检测、源码支持、扩