開源軟體安全任重道遠!80%的軟體程式碼庫包含至少一個漏洞
一項新的研究顯示,2021年開源軟體在常用程式碼庫中的份額增長到78%,然而公司繼續使用過時且不再維護的元件,這使得他們的軟體可能容易受到攻擊。
根據報告顯示,絕大多數軟體程式碼庫包含至少一個漏洞 (81%),使用過期四年以上的開源元件 (85%),幷包含過去兩年內沒有開發的元件 (88 %)。儘管有些資料顯示比前一年有所改善,但84%的程式碼庫至少存在一個漏洞,而91%的程式碼庫甚至在兩年前就停止了開發。
總體而言,資料表明企業開始在漏洞治理方面取得了一些進展,但還有很長的路要走。
首席安全策略師表示:“從軟體供應鏈的角度來看,人們試圖在此方面未來採取一些行動而有些想法,但目前在重大事項上還沒有取得很大的進展。
諮詢公司普華永道(PricewaterhouseCoopers)資料顯示,由於企業收購者、私募股權公司和特殊目的收購公司(SPACs)之間的激烈競爭,2021年的併購數量激增了24%。活動的增加導致了掃描程式碼庫的激增。
報告稱,總體而言,前10大高風險漏洞的流行率顯著下降。例如,在2020年的資料中,29%的程式碼庫的元件暴露了最普遍的漏洞,而在今年報告中,2021年資料中僅在8%的程式碼庫中確定了最普遍的高風險漏洞。
報告指出:“所有反覆出現的高風險漏洞都顯著減少。” “及時識別、確定優先順序和減少高風險漏洞可以幫助團隊解決對其組織構成最大威脅的風險。”
開源的持續傳播
隨著公司不斷增加對開源軟體的使用和依賴,2019年,開源佔安全公司審計的程式碼庫的70%,去年攀升至75%。現在78% 的公司軟體的安全性在很大程度上取決於其開發團隊使用的開源元件的狀態。
然而,開源軟體專案的質量仍然參差不齊,特別是在安全性方面。根據報告,幾乎四分之一的軟體專案(23%)只有一個開發人員貢獻了大部分程式碼,這可能會對使用該庫作為自己軟體元件的公司構成風險。
不幸的是,公司還沒有消除開源元件和依賴項帶來的最大風險。由於88%的程式碼庫包含過時的版本(未應用更新的元件),組織需要用軟體材料清單(SBOM)來跟蹤他們在開發中使用的軟體和專案。
更加註重SBOM的使用
隨著開源元件使用不斷增加,及當前開源安全問題所面臨的現狀,在接下來的一段時間,SBOM將變得更加普遍,但這並不能從根源上增加開源元件的安全性。
當前面臨的問題是,大多數人不知道如何處理SBOM,包括如何制定、使用及閱讀它,並使其發揮作用。
隨著公司對其軟體中使用的元件分析越來越熟練,能解決的安全問題會越來越多。由於存在各種各樣的開源許可,企業需要注意自己在開發中所包含了哪些軟體。目前,超過一半經過審計的程式碼庫存在許可證衝突,20%包含沒有許可證或非標準許可證的開原始碼。
文章來源:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2887272/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 遠端控制軟體哪個好用?精選安全遠控軟體ToDesk
- 我不能勝任開發開源軟體
- 開源軟體的安全性不足?
- 開源一款遠端控制軟體 —— pcshare
- 李開復談軟體外包及軟體安全(一)
- java的一個方便的敲程式碼軟體Java
- 開源軟體的教育是一個系統工程
- 新的嚴重安全漏洞影響CODESYS工業自動化軟體 或可導致遠端程式碼執行
- 想開發一個安全軟體,怎麼搞?
- 再談“開源軟體供應鏈安全”
- 遠端辦公軟體安全嗎?
- IssueHunt:一個新的開源軟體打賞平臺
- 進銷存軟體|雲ERP倉庫管理系統軟體原始碼開源可掃碼原始碼
- 一個好的大資料分析軟體包含哪些功能大資料
- Twitter 的那些開源軟體
- 朱易翔 | 物聯網安全任重而道遠
- 中介軟體漏洞
- 郵件安全相關開源軟體的介紹
- 關於開源軟體和閉源軟體我個人Naive的看法AI
- 在Apache Cassandra資料庫軟體中報告高嚴重性RCE安全漏洞Apache資料庫
- 開源專案管理軟體有哪些?分享7個實用開源專案管理軟體專案管理
- VNC遠控軟體,VNC遠控軟體有哪些?VNC
- 開源軟體將吞噬世界的10個原因
- 美國政府與科技巨頭討論開源軟體安全、近八萬網站受開源軟體漏洞影響|1月18日全球網路安全熱點網站
- 福昕釋出安全更新,PDF軟體存在多個漏洞
- 開源軟體推介(二)
- 開源備份軟體
- 最近剛完成的一個遠端抄表軟體
- 由一個小庫存軟體想到的
- 軟體測試與程式碼安全詳解
- 開源軟體的真正定義
- 開源的天文軟體Stellarium MacMac
- 開源軟體的易用性
- 戴爾預裝軟體曝出安全漏洞
- 開源中國的 IT 公司開源軟體整理-3
- 內建安全的軟體開發
- 國產軟體的“拿來主義”:開源軟體、主導權
- 求教牛人們 開源軟體 與 商業軟體的問題