代码安全和安全开发是信息安全的源头,也是最重要的环节,但是随着开源组件的流行,开源组件漏洞正在对安全开发构成广泛威胁。
随着敏捷开发和开源软件的流行,开源组件如今是开发者的宠儿,研究显示如今一个软件中平均75%的软件代码都来自开源组件!但这些开源组件中的漏洞也带来了巨大的安全风险。
Veracode 最新发布的 2017 年软件安全报告显示,88% 的 Java 应用包含至少一个含有漏洞的组件,容易遭受攻击。而且由于组件(包括开源组件)往往被大量应用复用,一个组件的漏洞被挖掘利用,可导致数以千计的使用该组件的应用面临被攻击风险。而只有不到28%的企业会对软件组件安全性进行常规审查。
事实上,过去 12 个月中对多个 Java 应用的回报丰厚的攻击,根源都是流行开源商业组件中的漏洞所致。其中一个典型的例子是今年3月份爆出的 Struts-Shock 漏洞,根据分析,使用 Apache Struts 2 代码库的Java 程序中,68% 都在使用一个含有远程代码执行漏洞(RCE)的版本,这直接导致 3500 万个网站面临攻击风险。
报告还显示,大约 53.3% 的 Java 应用都在使用包含漏洞的 Commons Collectins Component 组件版本,即使到今天,开发者使用含有漏洞版本的比例依然没有显著下降。
开源组件漏洞已经成为软件安全和开发安全最为头疼的问题之一,根据 FVeracode 的 SoSS 报告,虽然很多企业都根据漏洞的严重程度安排修补优先级,但是即使是最严重的漏洞也很难得到高效率的修补,例如只有 22% 的高危漏洞能够在 30 天内得到修补。而黑客和国家组织又充分的时间利用漏洞入侵企业网络。
转自:IT经理网