帶有已知安全漏洞的開源元件仍被廣泛使用

提供 Maven 中央倉庫託管服務的 Sonatype 公司說， Java 元件下載中，有 1/16 的下載元件中包含了已知的安全問題。

Sonatype 聲稱，開發者們每年要下載超過 310 億個/次 Java 元件，每天也會新增超過 1 千個新元件以及超過 1 萬個的元件新版本。

現在企業都採用託管式的中央元件倉庫來儲存他們的程式碼。這些程式碼中有一些來自私有專案，而更多的則來自於開原始碼，在多數情況下，他們只是下載開原始碼並匯入到其專案中，而不做必要的安全審計。

Sonatype 發現現在企業中的百分之八、九十的程式碼都是由開源元件構成的，它們直接來自公開的程式碼匯入。

由於這些安全缺陷都是公開的，而且 Sonatype 能夠訪問到其託管服務的伺服器統計資料，相比其他人來說他們得到的資料會更多，因此他們警告開發者們要注意在他們的程式碼中使用不安全的或過期的元件所帶來的風險。

這個警告對於公司來說更加嚴重，因為如果攻擊者對採用有缺陷的元件建立的應用進行攻擊，結果就可能導致更多的經濟損失。

更老的元件的缺陷率高達三倍

在分析了來自幾個不同行業的三千家機構的兩萬五千個以上的企業應用之後，Sonatype 發現平均每年每個企業都會下載大約五千個不同的元件。

元件越老，就越有可能包含安全缺陷。甚至更糟糕的是， 其中 97% 的下載的元件不能很方便的跟蹤和審計。而如果公司僅僅是要修復兩千個應用中的 10% 的安全漏洞，就大約需要 742 萬美金的鉅額投入。

這些問題說明企業需要對軟體供應鏈進行管理，以避免將來出現的缺陷問題。花費在元件安全審計上的時間，將在該專案的以後出現安全漏洞後得到回報。

從這種託管的中央程式碼倉庫中移除有缺陷的元件也應該成為這些專案背後的社群的最高優先順序的工作。

軟體供應鏈報告中包含了當今軟體供應鏈的更多資訊。