開源代碼存在安全隱患：一個項(xiàng)目平均有49個漏洞

動態(tài) PRO 稿源：cnbeta 2022-06-22 14:24

雖然開源軟件在開發(fā)人員和科技公司中日益受到歡迎，但最新報(bào)告披露了當(dāng)前開源環(huán)境所存在的安全隱患。在最新《The State of Open-Source Security》報(bào)告中，開源代碼的無限制部署正逐漸成為一種安全風(fēng)險(xiǎn)。

開發(fā)者安全公司 Snyk 和 Linux 基金會的研究聲稱，超過三分之一的組織對其開源軟件的安全性沒有很高的信心。 Snyk 開發(fā)者關(guān)系總監(jiān) Matt Jarvis 談到這份報(bào)告時說：

今天的軟件開發(fā)人員擁有自己的供應(yīng)鏈——他們不是組裝汽車零件，而是通過將現(xiàn)有的開源組件與其獨(dú)特的代碼拼湊在一起來組裝代碼。雖然這會提高生產(chǎn)力和創(chuàng)新，但它也帶來了重大的安全問題。

這份史無前例的報(bào)告發(fā)現(xiàn)了廣泛的證據(jù)，表明業(yè)界對當(dāng)今開源安全的狀態(tài)還很幼稚。我們計(jì)劃與 Linux 基金會一起利用這些發(fā)現(xiàn)來進(jìn)一步教育和裝備世界上的開發(fā)人員，使他們能夠繼續(xù)快速構(gòu)建，同時保持安全。

該研究聲稱，一個應(yīng)用程序開發(fā)項(xiàng)目平均有 49 個漏洞和 80 個直接依賴項(xiàng)。此外，修復(fù)開源項(xiàng)目漏洞所需的時間也在穩(wěn)步增加。早在 2018 年，修復(fù)安全漏洞平均需要 49 天。2021年，開發(fā)一個補(bǔ)丁大約需要 110 天。

該報(bào)告稱，只有 49% 的組織制定了開源軟件開發(fā)或使用的安全策略。而且，對于大中型公司來說，這個數(shù)字僅為 27%。大約 30% 的組織甚至承認(rèn)，他們的團(tuán)隊(duì)中沒有人直接負(fù)責(zé)，甚至沒有解決開源安全問題。順便說一句，這些公司沒有專門的開源安全策略。

0XU.CN