2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
根據(jù)本周二發(fā)布的Synopsys 2020開源安全與風(fēng)險分析報告,過時或廢棄的開源組件在幾乎所有商業(yè)軟件中都存在,使企業(yè)和用戶應(yīng)用程序面臨安全問題、違反許可和操作威脅的風(fēng)險。
Synopsys的研究人員分析了超過1250個商業(yè)代碼庫。Synopsys網(wǎng)絡(luò)安全研究中心(CyRC)審查了黑鴨審計服務(wù)團(tuán)隊執(zhí)行的代碼基礎(chǔ)審計。
該報告強(qiáng)調(diào)了商業(yè)應(yīng)用程序中開源使用的趨勢和模式。它提供了見解和建議來幫助組織更好地管理他們的軟件風(fēng)險。
2020年OSSRA報告重申了開源在當(dāng)今軟件生態(tài)系統(tǒng)中扮演的關(guān)鍵角色。
Synopsys發(fā)現(xiàn),在過去一年審計的代碼庫中,有99%至少包含一個開源組件。開放源碼占代碼總數(shù)的70%。
該報告強(qiáng)調(diào)了持續(xù)廣泛使用的老化或廢棄的開源組件,這些組件要么已經(jīng)過時超過四年,要么在過去兩年沒有任何開發(fā)活動。
Synopsys網(wǎng)絡(luò)安全研究中心的首席安全戰(zhàn)略家Tim Mackey說:“我們很難忽視開源在現(xiàn)代軟件開發(fā)和部署中的重要作用,但是從安全和許可遵從的角度來看,很容易忽略它對應(yīng)用程序風(fēng)險的影響?!?/p>
他告訴LinuxInsider, 2020年OSSRA報告強(qiáng)調(diào)了組織如何努力有效地跟蹤和管理他們的開源風(fēng)險。這種斗爭包括維護(hù)第三方軟件組件和開放源碼依賴關(guān)系的準(zhǔn)確清單。
他說:“保持信息及時更新是解決多層次應(yīng)用風(fēng)險的一個關(guān)鍵起點?!?/p>
根據(jù)Synopsys的說法,在今年的分析中,最令人擔(dān)憂的趨勢是由非托管的開源所帶來的不斷增加的安全風(fēng)險。代碼審計顯示,75%的代碼庫包含具有已知安全漏洞的開放源碼組件。
這一數(shù)字高于去年報告中的60%。同樣,49%的代碼庫包含高風(fēng)險漏洞,而這一比例僅為40%。
越來越多的開源軟件被采用,增加了對商業(yè)軟件中非托管開源代碼的警惕。
根據(jù)今年的Syopsys報告,99%的代碼庫至少包含一些開放源碼,平均每個代碼庫包含445個開放源碼組件。與2018年發(fā)現(xiàn)的298個開源組件相比,這是一個顯著的增長。經(jīng)過審計的代碼中有70%被認(rèn)定為開源代碼,這一比例高于2018年的60%,自2015年達(dá)到36%以來幾乎翻了一番。
麥基說,與去年的分析結(jié)果相比,今年的報告顯示了一些意想不到的進(jìn)展,既有好的結(jié)果,也有壞的結(jié)果。
他說:“我們看到了總體安全趨勢的變化,同時也看到了治理過程沒有跟上使用量增加的跡象?!?/p>
好消息是,今年是該機(jī)構(gòu)首次沒有發(fā)現(xiàn)基礎(chǔ)數(shù)據(jù)存在“心臟出血”(HeartBleed)漏洞。這表明,雖然長尾仍然存在,但是重構(gòu)工作或者僅僅是提高對高影響漏洞的認(rèn)識正在產(chǎn)生效果。
壞消息方面,隨著開放源碼使用的增加,未修補(bǔ)的漏洞也在增加,說明依賴于手動過程。Mackey解釋說,這發(fā)生在漏洞披露由于額外的報告機(jī)構(gòu)而增加的時候。
最終的結(jié)果是,沒有自動解決方案來過濾不適用于它們的cve的企業(yè),被迫測試由于應(yīng)用程序或系統(tǒng)組合而不可能被利用的信息披露。
通過代碼審計發(fā)現(xiàn)的最值得注意的開源風(fēng)險趨勢總結(jié)如下:
研究人員發(fā)現(xiàn),68%的代碼庫包含某種形式的開源許可沖突。33%包含沒有可識別許可的開源組件。
報告得出結(jié)論,安全漏洞是一個主要問題。將近一半的代碼庫包含高風(fēng)險的漏洞。
其中大約73%的漏洞使代碼庫所有者面臨可能的法律問題。開源組件的許可似乎與代碼庫的整體許可沖突,或者根本沒有許可。
報告顯示,不同行業(yè)的許可證沖突發(fā)生率存在顯著差異。
這些沖突從93%的互聯(lián)網(wǎng)和移動應(yīng)用到59%的虛擬現(xiàn)實、游戲、娛樂和媒體應(yīng)用。
這是Synopsys開源安全與風(fēng)險分析報告的第五版。它提供了商業(yè)軟件中開源安全、遵從性和代碼質(zhì)量風(fēng)險的當(dāng)前狀態(tài)的深入快照。
其結(jié)果基于Synopsys的開源審計服務(wù)團(tuán)隊在2019年審查的匿名數(shù)據(jù)。出于代碼審計的目的,Synopsys將代碼基定義為應(yīng)用程序、服務(wù)或庫的基礎(chǔ)代碼和庫。
研究人員將管理軟件定義為識別和跟蹤的軟件組件的來源、年齡、許可和版本信息。研究人員還研究了應(yīng)用或缺失的更新和安全補(bǔ)丁。
2020年OSSRA報告總結(jié)說,組織需要更好地維護(hù)開源組件。這些代碼是他們構(gòu)建或使用的軟件的關(guān)鍵部分。
麥基說:“我們繼續(xù)建議企業(yè)在自動化方面進(jìn)行投資,以創(chuàng)建準(zhǔn)確的庫存,但真正的故事是一個過程?!薄伴_發(fā)、企業(yè)IT和企業(yè)法律團(tuán)隊需要為開源的使用定義一個過程?!?/p>
不再建議下載開源組件、包或解決方案并簡單地使用它。他補(bǔ)充說,如果下載沒有得到適當(dāng)?shù)墓芾?,那么它將使企業(yè)面臨與任何商業(yè)軟件一樣的治理挑戰(zhàn)。
關(guān)鍵的區(qū)別在于,沒有一個商業(yè)實體可以讓律師依靠來解決問題。這個補(bǔ)丁需要來自支持這個組件的開源社區(qū),或者來自本地開發(fā)團(tuán)隊,后者理想情況下會將它的補(bǔ)丁提交給社區(qū)。
“不管怎樣,如果社區(qū)參與不是這個過程的一部分,那么保持一個補(bǔ)丁兼容的狀態(tài)就會變得更加困難,”Mackey說。
據(jù)Mackey說,OSSRA的報告沒有考慮開源軟件的整體安全性。相反,它關(guān)注的是在商業(yè)環(huán)境中使用時的治理情況。
“話雖如此,我們確實對數(shù)據(jù)集中發(fā)現(xiàn)的幾個突出漏洞進(jìn)行了更深入的分析,以更好地理解什么是核心風(fēng)險,”他澄清說。
開源軟件安全提出了新的挑戰(zhàn)。SaltStack的首席技術(shù)官托馬斯?哈奇(Thomas Hatch)表示,專有軟件將包括開源軟件,這非常普遍,幾乎是普遍現(xiàn)象。
同樣重要的是要記住,專有軟件中包含的開源軟件版本可能不會可靠地公開,或者根本不會公開。跟蹤這幾乎是不可能的,”他告訴LinuxInsider。
開源軟件更安全的最初理由是,許多人的眼睛可以帶來更多的修復(fù)。然而,這一論斷似乎并不能解釋小型開源項目在現(xiàn)代的蔓延,Hatch觀察到。
“現(xiàn)在有太多的開源代碼,審計變得越來越困難。我想說,開源軟件的安全狀況今年比去年更差。
雖然大型項目正在改善,但整體的增長速度遠(yuǎn)遠(yuǎn)超過了跟蹤能力。哈奇說,這份報告非常有用,但作為一個正在進(jìn)行的探索項目,它將更加強(qiáng)大。
麥基保證說,年復(fù)一年地發(fā)布這類報告是為了達(dá)到真正的糾正目的。
他解釋說,當(dāng)該公司5年前開始發(fā)布OSSRA報告時,企業(yè)領(lǐng)導(dǎo)人對開源活動對其整體運(yùn)營的影響缺乏認(rèn)識。
這就是大量引人注目的開源漏洞開發(fā)的背景。五年后,隨著開放源碼的發(fā)展,監(jiān)管要求的復(fù)雜性也在增加。
OSSRA的報告基于在并購中獲得的商業(yè)應(yīng)用。Mackey說,底層數(shù)據(jù)提供了一個關(guān)于開源的視角,這是無法通過對開發(fā)團(tuán)隊的簡單調(diào)查或其他輕量級數(shù)據(jù)收集獲得的。
StackRox的首席技術(shù)官Ali Golshan說,Synopsys 2020 OSSRA報告提供了一個高水平趨勢的良好指標(biāo)。但是,公司在決策時應(yīng)該考慮更多的東西,特別是與開源安全相關(guān)的東西。
他告訴LinuxInsider:“隨著DevOps實踐與開源解決方案的結(jié)合,導(dǎo)致云原生技術(shù)的更廣泛部署,與開源相關(guān)的風(fēng)險問題變得越來越動態(tài)?!?/p>
整體攻擊面在云原生空間中發(fā)生了重大變化——從傳統(tǒng)的攻擊和運(yùn)行時攻擊轉(zhuǎn)向了構(gòu)建過程中暴露的更大的攻擊面,Golshan指出。
他提醒說,從操作的角度來看,在使用開源組件的同時使用云本地技術(shù)可能是有利的,但從安全的角度來看則是有挑戰(zhàn)性的?!跋馭ynopsys這樣的報告應(yīng)該被認(rèn)為是一個很好的提醒,可以更仔細(xì)地查看如何保護(hù)構(gòu)建過程?!?/p>
Jack M. Germain自2003年起擔(dān)任ECT新聞網(wǎng)絡(luò)記者。他主要關(guān)注的領(lǐng)域是企業(yè)IT、Linux和開源技術(shù)。他寫了許多關(guān)于Linux發(fā)行版和其他開源軟件的評論。杰克的電子郵件。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。