開原始碼：網路攻擊的下一個重點目標

開源軟體的普遍存在帶來了重大的安全風險，因為它為使用者(有意或無意地)引入漏洞開啟了大門。廣泛使用的Log4j程式碼庫中的嚴重漏洞為大家做了提醒。

開原始碼對網路犯罪分子的吸引

使用廣泛而便於被利用的開源軟體對網路犯罪分子很有吸引力，攻擊者可以使用各種方法來混淆對開源專案做出的惡意更改，並且，透過審查程式碼來了解安全隱患的嚴格與否可能會根據專案而不同，因此，如果沒有嚴格的安全控制措施來檢測這些惡意更改，那麼很可能會被忽視，隨之被分發幷包含在眾多公司的軟體中。

對開原始碼的攻擊所產生的影響會隨著規模和實體不同而不同。例如，去年7月，研究人員發現了9個漏洞，這幾個漏洞影響了EspoCRM、Pimcore 和 Akaunting這3個開源專案，並且這些專案經常被中小型企業所使用。更重要的是，2017年資料洩露事件是由於該組織的開原始碼中漏洞被利用，從而影響了1.47 億人的個人資料。

能否捨棄開原始碼?

CISA曾表示，數億臺裝置可能受到Log4j漏洞的影響。儘管開原始碼的漏洞影響嚴重，但完全放棄使用開源是不現實的。幾乎所有現代軟體都是由開源元件構建的，在沒有開源的情況下重建這些元件將需要大量的時間和金錢來生產，即使是很小的應用程式。全球超60%的網站在Apache和Nginx伺服器上執行，據報導90%的IT領導者定期使用企業開原始碼。

測試和保護您的軟體

與其擔心如何避開開源元件，更現實的方法是將安全融入軟體開發團隊中，將應用軟體安全測試提前。這一部分可以由三部分組成，首先要掃描和測試程式碼安全，其次建立一個明確的流程來解決和修復出現的漏洞，最後建立一個內部策略，其中設定瞭解決安全問題的規則。

在使用工具檢測程式碼安全時， 靜態程式碼分析是很好的第一步。透過靜態程式碼檢測分析可以分析原始碼中是否存在缺陷及安全漏洞。此外，透過將嚴格的程式碼審查與動態分析和開源元件成分分析相結合，以發現更深層次的漏洞問題。

掃描檢測完成後，組織應該有一個明確的流程來解決發現的漏洞。開發人員可能會發現自己面臨釋出截止日期，或者軟體補丁可能需要重構整個程式，這將導致延長時間。透過明確的後續步驟來解決漏洞和緩解問題，幫助開發人員解決艱難的選擇，並保護組織的安全。

保護開源免受未來攻擊

整個行業都在關注進一步保護開原始碼安全的必要性。除了全行業努力保護基於開原始碼構建的軟體免受網路威脅外，組織應該對其防禦戰略採取內部積極主動的方法。

這包括為他們自研程式碼和他們所依賴的開原始碼實施安全檢測和控制程式。制定內部政策和指南，可以幫助識別使用開源軟體的風險，並確定用於管理該風險的控制措施。這樣不但能利用開原始碼所帶來的便捷，同時還能建立一個能夠抵禦未來攻擊的軟體開發環境。

文章來源：