一項新的研究顯示，2021年開源軟體在常用程式碼庫中的份額增長到78%，然而公司繼續使用過時且不再維護的元件，這使得他們的軟體可能容易受到攻擊。

根據報告顯示，絕大多數軟體程式碼庫包含至少一個漏洞 (81%)，使用過期四年以上的開源元件 (85%)，幷包含過去兩年內沒有開發的元件 (88 %)。儘管有些資料顯示比前一年有所改善，但84%的程式碼庫至少存在一個漏洞，而91%的程式碼庫甚至在兩年前就停止了開發。

總體而言，資料表明企業開始在漏洞治理方面取得了一些進展，但還有很長的路要走。

首席安全策略師表示：“從軟體供應鏈的角度來看，人們試圖在此方面未來採取一些行動而有些想法，但目前在重大事項上還沒有取得很大的進展。

諮詢公司普華永道(PricewaterhouseCoopers)資料顯示，由於企業收購者、私募股權公司和特殊目的收購公司(SPACs)之間的激烈競爭，2021年的併購數量激增了24%。活動的增加導致了掃描程式碼庫的激增。

報告稱，總體而言，前10大高風險漏洞的流行率顯著下降。例如，在2020年的資料中，29%的程式碼庫的元件暴露了最普遍的漏洞，而在今年報告中，2021年資料中僅在8%的程式碼庫中確定了最普遍的高風險漏洞。

報告指出：“所有反覆出現的高風險漏洞都顯著減少。” “及時識別、確定優先順序和減少高風險漏洞可以幫助團隊解決對其組織構成最大威脅的風險。”

開源的持續傳播

隨著公司不斷增加對開源軟體的使用和依賴，2019年，開源佔安全公司審計的程式碼庫的70%，去年攀升至75%。現在78% 的公司軟體的安全性在很大程度上取決於其開發團隊使用的開源元件的狀態。

然而，開源軟體專案的質量仍然參差不齊，特別是在安全性方面。根據報告，幾乎四分之一的軟體專案(23%)只有一個開發人員貢獻了大部分程式碼，這可能會對使用該庫作為自己軟體元件的公司構成風險。

不幸的是，公司還沒有消除開源元件和依賴項帶來的最大風險。由於88%的程式碼庫包含過時的版本(未應用更新的元件)，組織需要用軟體材料清單(SBOM)來跟蹤他們在開發中使用的軟體和專案。

更加註重SBOM的使用

隨著開源元件使用不斷增加，及當前開源安全問題所面臨的現狀，在接下來的一段時間，SBOM將變得更加普遍，但這並不能從根源上增加開源元件的安全性。

當前面臨的問題是，大多數人不知道如何處理SBOM，包括如何制定、使用及閱讀它，並使其發揮作用。

隨著公司對其軟體中使用的元件分析越來越熟練，能解決的安全問題會越來越多。由於存在各種各樣的開源許可，企業需要注意自己在開發中所包含了哪些軟體。目前，超過一半經過審計的程式碼庫存在許可證衝突，20%包含沒有許可證或非標準許可證的開原始碼。

文章來源：