帶有已知安全漏洞的開源元件仍被廣泛使用
提供 Maven 中央倉庫託管服務的 Sonatype 公司說, Java 元件下載中,有 1/16 的下載元件中包含了已知的安全問題。
Sonatype 聲稱,開發者們每年要下載超過 310 億個/次 Java 元件,每天也會新增超過 1 千個新元件以及超過 1 萬個的元件新版本。
現在企業都採用託管式的中央元件倉庫來儲存他們的程式碼。這些程式碼中有一些來自私有專案,而更多的則來自於開原始碼,在多數情況下,他們只是下載開原始碼並匯入到其專案中,而不做必要的安全審計。
Sonatype 發現現在企業中的百分之八、九十的程式碼都是由開源元件構成的,它們直接來自公開的程式碼匯入。
由於這些安全缺陷都是公開的,而且 Sonatype 能夠訪問到其託管服務的伺服器統計資料,相比其他人來說他們得到的資料會更多,因此他們警告開發者們要注意在他們的程式碼中使用不安全的或過期的元件所帶來的風險。
這個警告對於公司來說更加嚴重,因為如果攻擊者對採用有缺陷的元件建立的應用進行攻擊,結果就可能導致更多的經濟損失。
更老的元件的缺陷率高達三倍
在分析了來自幾個不同行業的三千家機構的兩萬五千個以上的企業應用之後,Sonatype 發現平均每年每個企業都會下載大約五千個不同的元件。
元件越老,就越有可能包含安全缺陷。甚至更糟糕的是, 其中 97% 的下載的元件不能很方便的跟蹤和審計。而如果公司僅僅是要修復兩千個應用中的 10% 的安全漏洞,就大約需要 742 萬美金的鉅額投入。
這些問題說明企業需要對軟體供應鏈進行管理,以避免將來出現的缺陷問題。花費在元件安全審計上的時間,將在該專案的以後出現安全漏洞後得到回報。
從這種託管的中央程式碼倉庫中移除有缺陷的元件也應該成為這些專案背後的社群的最高優先順序的工作。
軟體供應鏈報告中包含了當今軟體供應鏈的更多資訊。
相關文章
- 廣泛被使用的開源PJSIP SIP和媒體堆疊中存在安全缺陷JS
- 這五款工具被全球黑客廣泛使用,中國菜刀入榜黑客
- 廣泛被應用的雲專線實際應用場景有哪些?——VecloudCloud
- [譯] 如何讓你的設計系統被廣泛採用
- 兒童互動投影遊戲被廣泛應用的原因遊戲
- 代理IP被廣泛應用的原因是什麼?
- 被廣泛使用的OAuth2.0的密碼模式已經廢了,放棄吧OAuth密碼模式
- jQuery使用最廣泛的javascript函式庫jQueryJavaScript函式
- 網頁廣泛使用的經典程式碼網頁
- 為什麼雲辦公平臺被越來越廣泛的接受
- 微信收費事件背後被廣泛忽略的技術細節事件
- Java是一種廣泛使用的程式語言Java
- 微軟Windows Core OS被曝應用了開源元件微軟Windows元件
- 一有不慎,廣泛傳播,坑爹啊
- 物聯網技術的廣泛採用給使用者帶來了額外的風險
- 如何管理開源產品的安全漏洞
- 10個使用Java最廣泛的現實領域Java
- 導致爬蟲使用代理IP卻仍被限制的原因爬蟲
- .Net 7 被Microsoft的開源免費PowerToys工具獨立附帶ROS
- Chango:搜尋重定向被廣泛用於效果和品牌營銷Go
- 《HTML5觸控介面設計與開發》——1.2 廣泛使用的裝置HTML
- 國際上應用廣泛的郵件營銷有哪些優勢?
- Windows 7 成為全球使用最廣泛的作業系統Windows作業系統
- 高質量外鏈的判斷標準和來源:標準明確,來源廣泛
- 開源179個Flutter元件的詳細使用介紹Flutter元件
- 每日安全資訊:研究人員發現一種廣泛使用的醫療輸液泵可以被遠端劫持
- 詳解Web應用安全系列(7)使用具有已知漏洞的元件Web元件
- Swift開源帶來的思考Swift
- java使用bytebuddy動態生成帶泛型的DTOJava泛型
- 這個開源軟體被2億使用者使用
- Github帶來的不止是開源,還有摺疊的認知Github
- iOS 元件化方案,帶有原始碼iOS元件化原始碼
- 大資料應用廣泛大資料
- 你有被代理過嗎?講講開源框架都在用的代理模式框架模式
- 開源日誌記錄元件Log4Net的使用元件
- 中國資訊通訊研究院:2022年 75%被測電視作業系統存在已知安全漏洞作業系統
- ChatGPT的使用範圍到底有多廣?ChatGPT
- 應用最為廣泛的電商網站網站