代碼安全和安全開發(fā)是信息安全的源頭,也是最重要的環(huán)節(jié),但是隨著開源組件的流行,開源組件漏洞正在對安全開發(fā)構(gòu)成廣泛威脅。
隨著敏捷開發(fā)和開源軟件的流行,開源組件如今是開發(fā)者的寵兒,研究顯示如今一個軟件中平均75%的軟件代碼都來自開源組件!但這些開源組件中的漏洞也帶來了巨大的安全風(fēng)險。
Veracode最新發(fā)布的2017年軟件安全報告顯示,88%的Java應(yīng)用包含至少一個含有漏洞的組件,容易遭受攻擊。而且由于組件(包括開源組件)往往被大量應(yīng)用復(fù)用,一個組件的漏洞被挖掘利用,可導(dǎo)致數(shù)以千計的使用該組件的應(yīng)用面臨被攻擊風(fēng)險。而只有不到28%的企業(yè)會對軟件組件安全性進(jìn)行常規(guī)審查。
事實上,過去12個月中對多個Java應(yīng)用的回報豐厚的攻擊,根源都是流行開源商業(yè)組件中的漏洞所致。其中一個典型的例子是今年3月份爆出的Struts-Shock漏洞,根據(jù)分析,使用Apache Struts 2代碼庫的Java程序中,68%都在使用一個含有遠(yuǎn)程代碼執(zhí)行漏洞(RCE)的版本,這直接導(dǎo)致3500萬個網(wǎng)站面臨攻擊風(fēng)險。
報告還顯示,大約53.3%的Java應(yīng)用都在使用包含漏洞的Commons Collectins Component組件版本,即使到今天,開發(fā)者使用含有漏洞版本的比例依然沒有顯著下降。
開源組件漏洞已經(jīng)成為軟件安全和開發(fā)安全最為頭疼的問題之一,根據(jù)FVeracode的SoSS報告,雖然很多企業(yè)都根據(jù)漏洞的嚴(yán)重程度安排修補(bǔ)優(yōu)先級,但是即使是最嚴(yán)重的漏洞也很難得到高效率的修補(bǔ),例如只有22%的高危漏洞能夠在30天內(nèi)得到修補(bǔ)。而黑客和國家組織又充分的時間利用漏洞入侵企業(yè)網(wǎng)絡(luò)。
此報告中行業(yè)領(lǐng)域的軟件安全調(diào)查數(shù)據(jù),請點擊訪問Veracode的軟件安全報告查詢信息庫。