创作

开源程序安全漏洞如何对企业构成威胁?

[复制链接]
open-source.jpg

使用开源代码的应用程序有很多好处,包括透明度,灵活性,成本效益和社区支持。但是这些产品如何保证安全性呢?尽管基于社区的开源方法意味着应该迅速发现安全漏洞,但是修补这些漏洞并应用修补程序却是另一回事。

在营销技术行业中看到的所有公司(包括潜在客户生成的CRM和社交媒体)在其应用程序中都包含开源代码。其中,95%的代码库具有开源漏洞。医疗保健部门中约98%的代码库包含开源,其中67%具有安全漏洞。

金融服务行业中约有97%的代码库包含开源,其中超过40%的代码库具有漏洞。零售和电子商务部门分析的代码库中有92%使用的是开源,其中71%的代码库存在安全漏洞。

许多安全漏洞是废弃的开源组件的结果。过去两年中,整整91%的代码库都具有开源依赖项,并且没有开发活动,这意味着代码没有改进,也没有安全补丁。

过去两年中,超过90%的代码库使用的是开放源代码,没有开发活动,这不足为奇。与商业软件不同,供应商可以将信息推送给用户,而开源软件则需要社区参与才能蓬勃发展。孤立项目并不是一个新问题,但是一旦发生,解决安全问题就变得更加困难。

过时的开源组件在安全漏洞中也发挥了作用。研究人员检查的代码库中约有85%具有开源依赖项,这些依赖项已过时四年以上。这些组件受到发布安全修复程序的活跃开发人员社区的支持,但是商业客户不一定会应用这些修复程序。

开源漏洞正在上升。2020年,具有易受攻击的开源组件的代码库的比例达到84%,比2019年增加9%。与此同时,具有高风险漏洞的代码库的比例从49%上升到60%。2019年在代码库中发现的几个顶级开源漏洞在2020年仍然存在。

为了帮助企业保护自己免受开源漏洞的侵害,研究人员分享了以下技巧:

1、创建您的开源资产清单。减少漏洞的暴露开始于完整的开源资产清单。理想情况下,每当部署新软件或更新软件时,都将更新此清单,以便您确定是否已正确修补所有内容。确保包括每个开源组件的来源,因为这将告诉您在哪里可以找到正确的补丁。

2、审查供应商如何处理补丁。当您购买新设备或应用程序时,请查看供应商如何发布软件补丁。如果您不能自己确定,请与支持团队联系。

3、必要时考虑其他供应商。如果供应商无法为您提供帮助或似乎没有在更新自己的产品,则可能是时候找到其他供应商了。如果供应商跟不上补丁程序,那么安全性可能就没有得到应有的重视。

4、在应用安全修补程序之前,请先对其进行检查。在应用任何安全补丁之前,请确保完全检查它。这对于开源代码尤为重要,因为开发人员不知道您的特定环境并且无法对其进行测试。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2019 Comsenz Inc.  Powered by Discuz! X3.4  渝ICP备17007481号-6