GitHub漏洞库4年首降：4101条背后藏着19%的暗涌

GitHub Advisory Database（GitHub 漏洞咨询数据库）在2025年只发布了4101条经审核的漏洞公告。这是2021年以来的最低值。但数字下降不等于威胁减少——新报告的漏洞实际上同比增长了19%。

这种反差像什么？像一家医院突然减少了急诊接诊量，不是因为病人少了，而是因为积压的老病例终于清完了。GitHub的解释很直白：数据库2019年创建，六年过去，"库存"里的陈年漏洞快被翻完了。

清库存运动：为什么老漏洞在消失

GitHub Advisory Database的定位是"开源软件已知安全漏洞和恶意软件的全面清单"。它覆盖npm、PyPI、Maven等主流生态，开发者靠它接收Dependabot（依赖项自动安全扫描工具）警报。

2025年的数据里，"未审核"标签的减少是主因。但GitHub特意澄清：大多数标"未审核"的条目其实已经被策展人看过，只是确认不影响任何受支持的生态包，所以永远不会进入正式审核流程。

这意味着用户收到的"全新Dependabot警报关于旧漏洞"会明显减少。对每天被安全警报轰炸的开发者来说，这是噪音降低。但对安全团队来说，需要警惕的是：噪音少了不代表风险少了。

一个细节值得注意。如果你发现某个"未审核"条目其实影响了受支持的包，GitHub明确呼吁反馈——这说明自动化筛选仍有盲区，人工兜底机制还在运转。

Go语言突然多出6%：一场定向补漏

2025年各生态的漏洞分布与数据库整体分布基本一致，除了Go。Go在2025年公告中占比异常高出6%，这不是因为Go代码突然变脆弱了，而是一次内部审查的副产品。

GitHub的团队重新检查了覆盖不完整的Go包，主动挖掘了一批"可能遗漏的公告"。这种查漏补缺的操作，让Go的漏洞数量被人为放大。类比的话，像是 census（人口普查）后突然宣布某街区"新增"了大量户籍——不是新生儿潮，是之前漏登了。

这种操作暴露了开源安全的一个结构性问题：漏洞发现高度依赖维护者的主动性和平台的覆盖能力。Go生态的"异常增长"恰恰说明，其他语言可能还有类似的漏网之鱼，只是还没被系统性翻查。

CWE标签大洗牌：85%的空白被填上

2025年最大的质量改进是CWE（通用缺陷枚举，Common Weakness Enumeration）标签的规范化。没有CWE标签的公告从2024年的452条暴跌至65条，降幅85%。

跨站脚本攻击（CWE-79）依然稳居榜首，这是老传统。但三个类别异常突出：资源耗尽（CWE-400和CWE-770）、不安全的反序列化（CWE-502）、服务器端请求伪造（CWE-918）。这三类在2025年的出现频率远高于历史均值。

CWE-863（"不正确的授权"）也有显著跳升，但这主要是重新分类的结果——CWE项目不鼓励使用更上层的CWE-284（"不当访问控制"）和CWE-285（"不当授权"），大量条目被下放到更具体的CWE-863。

标签规范化看似枯燥，实则影响深远。安全工具依赖CWE做模式匹配，标签混乱会导致误报或漏报。85%的空白被填上，意味着自动化防御的精确度在提升。但CWE-20（"不当输入验证"）依然常见，这个"垃圾桶类别"多年来被滥用，把各种说不清道不明的漏洞往里塞。2025年的改进是否真正减少了这种模糊性，还是只是把垃圾分到了更细的桶里，还需要观察。

19%的增长藏在哪：新漏洞的暗线

回到核心矛盾：总审核量下降，但新漏洞增长19%。这个数字被埋在了"清库存"的叙事里，容易被忽视。

GitHub没有披露这19%的具体构成——哪些生态、哪些类型、哪些严重级别。但从CWE的异常分布可以推测，资源耗尽类漏洞的激增可能是推手之一。这类漏洞（如ReDoS正则表达式拒绝服务）在JavaScript/npm生态尤其常见，而npm正是GitHub Advisory Database覆盖最密集的生态之一。

另一个可能的解释是AI辅助代码生成的副作用。GitHub Copilot等工具的普及，让开发者更快地产出代码，也可能更快地复制不安全的模式。2025年的数据里，是否有AI生成代码特有的漏洞特征？GitHub的报告中没有提及，但作为Copilot的开发商，这种分析可能存在利益冲突。

开源安全的监测体系正在经历一场静默的转型。从"发现越多越好"转向"发现越准越好"，从数量竞赛转向质量竞赛。但转型期的数据容易误读——4101条是低还是高，取决于你问的是噪音控制团队还是威胁情报团队。

当GitHub说"你应该收到更少关于旧漏洞的全新警报"时，这是一个产品承诺，还是一个免责声明？如果你的代码库在2025年没有收到任何新的Dependabot警报，是因为你真的安全了，还是因为某种漏洞还没被归类到受支持的生态包里？