信息來(lái)源:企業(yè)網(wǎng)
根據(jù)IT經(jīng)理網(wǎng)此前發(fā)布過(guò)的Veracode 2017年軟件安全報(bào)告,如今一個(gè)軟件中平均75%的軟件代碼都來(lái)自開源組件!但這些開源組件中的漏洞也帶來(lái)了巨大的安全風(fēng)險(xiǎn)。
近年來(lái),來(lái)自開源組件和開源代碼的安全威脅呈幾何級(jí)數(shù)增長(zhǎng),嚴(yán)重威脅到信息安全“上游水源地”——安全開發(fā)和代碼安全,根據(jù)安全公司Snyk發(fā)布的開源軟件安全現(xiàn)狀報(bào)告,2012年以來(lái),每年公布的開源軟件漏洞都在快速增長(zhǎng),2017年全年同比增幅創(chuàng)下歷史新高:
Snyk的開源軟件安全現(xiàn)狀報(bào)告報(bào)告掃描了數(shù)以百萬(wàn)計(jì)的Github代碼庫(kù)和程序包,調(diào)查了超過(guò)500個(gè)開源項(xiàng)目的維護(hù)者,為我們首次揭示了全球開源生態(tài)的安全現(xiàn)狀和發(fā)展趨勢(shì),并對(duì)開源軟件安全的改進(jìn)提出了建設(shè)性意見,報(bào)告中的一些亮點(diǎn)如下:
80-90%的商業(yè)軟件開發(fā)者在應(yīng)用中使用了開源代碼組件,全球的機(jī)構(gòu)和垂直行業(yè)用戶都在使用開源代碼開發(fā)應(yīng)用。只有16.8%的開源項(xiàng)目維護(hù)者自認(rèn)為有較高的信息安全技術(shù)和意識(shí)。接近半數(shù)的開源項(xiàng)目維護(hù)者從來(lái)不審計(jì)代碼,只有11%的維護(hù)者能做到每季度審核代碼。開源軟件漏洞產(chǎn)生到發(fā)現(xiàn)公布的平均時(shí)間周期為2.89年75%的漏洞都沒有被項(xiàng)目維護(hù)者發(fā)現(xiàn)79.5%的開源項(xiàng)目維護(hù)者都沒有公開的漏洞公布策略(導(dǎo)致極低的漏洞匯報(bào)率)