調查：僅33%的受訪者在持續整合中使用安全檢測工具

近日，Linux基金會和Snyk釋出的一項調查發現，不到一半的受訪者 (49%) 為那些為使用或開發開源軟體制定了安全策略的組織工作。

Linux基金會和Snyk調查了550名軟體開發專業人員，將近三分之一(30%)沒有任何安全策略的受訪者承認，他們的團隊中目前沒有人直接解決開源安全問題。41%的人表示她們對自己的開源軟體安全性沒有很高的信心。59%的受訪者表示他們部署的開源軟體在一定程度上或高度安全。

Snyk 開發者關係主管 Matt Jarvis 表示，許多組織並不瞭解開源軟體現在成為網路犯罪分子的目標，網路犯罪分子希望在廣泛使用的軟體專案中偷偷地插入惡意軟體。他補充說，這些組織也對開源軟體是如何構建的缺乏清晰的認識。

總的來說，調查發現，平均每個應用程式開發專案有49個漏洞，80個直接依賴於開源軟體。只有18%的受訪者表示，為傳遞依賴所採取的控制措施充滿信心。發現的所有漏洞中有40%是在傳遞依賴項中發現的。

調查顯示，只有三分之一 (33%) 的受訪者在持續整合過程中使用 靜態應用程式安全測試 (SAST) 工具或軟體成分分析 (SCA) 工具來發現這些漏洞。總體而言，44%的人表示他們使用某種型別的工具來分析原始碼。

在附加功能方面，59%的人表示他們希望看到更多的智慧工具能新增進去，而52%的人表示需要更明確地定義網路安全最佳實踐。近一半(49%)的人還希望增加自動化和安全審計工具。

調查還發現，修復開源專案中的漏洞時間要比專有專案多19%的時間。在有安全政策的組織中，80%的責任歸屬於安全團隊。

開源安全基金會(OpenSSF)是Linux基金會的一個分支機構，它專注於10項投資，總共需要超過1.5億美元的資金，以推動開源軟體專案的維護者更多地採用DevSecOps的最佳實踐。今天的開發人員經常重複使用開源軟體。問題是，其中許多專案是由少數程式設計師維護的，他們自願貢獻自己的時間和精力來構建其他人可以免費使用的元件。像任何其他開發人員一樣，這些個人擁有的安全專業知識是有限的。確保專案和軟體安全的責任在決定部署該軟體的組織身上。

希望IT供應商和大型企業IT組織在重複使用開原始碼的同時，加強開源元件及軟體程式碼的安全建設。

文章來源：

https://devops.com/survey-uncovers-depth-of-open-source-software-insecurity/