被拋棄的開放源代碼增加了商業(yè)軟件的安全風險

根據本周二發(fā)布的Synopsys 2020開源安全與風險分析報告，過時或廢棄的開源組件在幾乎所有商業(yè)軟件中都存在，使企業(yè)和用戶應用程序面臨安全問題、違反許可和操作威脅的風險。

Synopsys的研究人員分析了超過1250個商業(yè)代碼庫。Synopsys網絡安全研究中心(CyRC)審查了黑鴨審計服務團隊執(zhí)行的代碼基礎審計。

該報告強調了商業(yè)應用程序中開源使用的趨勢和模式。它提供了見解和建議來幫助組織更好地管理他們的軟件風險。

2020年OSSRA報告重申了開源在當今軟件生態(tài)系統(tǒng)中扮演的關鍵角色。

Synopsys發(fā)現，在過去一年審計的代碼庫中，有99%至少包含一個開源組件。開放源碼占代碼總數的70%。

該報告強調了持續(xù)廣泛使用的老化或廢棄的開源組件，這些組件要么已經過時超過四年，要么在過去兩年沒有任何開發(fā)活動。

Synopsys網絡安全研究中心的首席安全戰(zhàn)略家Tim Mackey說:“我們很難忽視開源在現代軟件開發(fā)和部署中的重要作用，但是從安全和許可遵從的角度來看，很容易忽略它對應用程序風險的影響。”

他告訴LinuxInsider, 2020年OSSRA報告強調了組織如何努力有效地跟蹤和管理他們的開源風險。這種斗爭包括維護第三方軟件組件和開放源碼依賴關系的準確清單。

他說:“保持信息及時更新是解決多層次應用風險的一個關鍵起點。”

根據Synopsys的說法，在今年的分析中，最令人擔憂的趨勢是由非托管的開源所帶來的不斷增加的安全風險。代碼審計顯示，75%的代碼庫包含具有已知安全漏洞的開放源碼組件。

這一數字高于去年報告中的60%。同樣，49%的代碼庫包含高風險漏洞，而這一比例僅為40%。

越來越多的開源軟件被采用，增加了對商業(yè)軟件中非托管開源代碼的警惕。

根據今年的Syopsys報告，99%的代碼庫至少包含一些開放源碼，平均每個代碼庫包含445個開放源碼組件。與2018年發(fā)現的298個開源組件相比，這是一個顯著的增長。經過審計的代碼中有70%被認定為開源代碼，這一比例高于2018年的60%，自2015年達到36%以來幾乎翻了一番。

麥基說，與去年的分析結果相比，今年的報告顯示了一些意想不到的進展，既有好的結果，也有壞的結果。

他說:“我們看到了總體安全趨勢的變化，同時也看到了治理過程沒有跟上使用量增加的跡象?！?/p>

好消息是，今年是該機構首次沒有發(fā)現基礎數據存在“心臟出血”(HeartBleed)漏洞。這表明，雖然長尾仍然存在，但是重構工作或者僅僅是提高對高影響漏洞的認識正在產生效果。

壞消息方面，隨著開放源碼使用的增加，未修補的漏洞也在增加，說明依賴于手動過程。Mackey解釋說，這發(fā)生在漏洞披露由于額外的報告機構而增加的時候。

最終的結果是，沒有自動解決方案來過濾不適用于它們的cve的企業(yè)，被迫測試由于應用程序或系統(tǒng)組合而不可能被利用的信息披露。

通過代碼審計發(fā)現的最值得注意的開源風險趨勢總結如下:

研究人員發(fā)現，68%的代碼庫包含某種形式的開源許可沖突。33%包含沒有可識別許可的開源組件。

報告得出結論，安全漏洞是一個主要問題。將近一半的代碼庫包含高風險的漏洞。

其中大約73%的漏洞使代碼庫所有者面臨可能的法律問題。開源組件的許可似乎與代碼庫的整體許可沖突，或者根本沒有許可。

報告顯示，不同行業(yè)的許可證沖突發(fā)生率存在顯著差異。

這些沖突從93%的互聯網和移動應用到59%的虛擬現實、游戲、娛樂和媒體應用。

這是Synopsys開源安全與風險分析報告的第五版。它提供了商業(yè)軟件中開源安全、遵從性和代碼質量風險的當前狀態(tài)的深入快照。

其結果基于Synopsys的開源審計服務團隊在2019年審查的匿名數據。出于代碼審計的目的，Synopsys將代碼基定義為應用程序、服務或庫的基礎代碼和庫。

研究人員將管理軟件定義為識別和跟蹤的軟件組件的來源、年齡、許可和版本信息。研究人員還研究了應用或缺失的更新和安全補丁。

2020年OSSRA報告總結說，組織需要更好地維護開源組件。這些代碼是他們構建或使用的軟件的關鍵部分。

麥基說:“我們繼續(xù)建議企業(yè)在自動化方面進行投資，以創(chuàng)建準確的庫存，但真正的故事是一個過程?！薄伴_發(fā)、企業(yè)IT和企業(yè)法律團隊需要為開源的使用定義一個過程。”

不再建議下載開源組件、包或解決方案并簡單地使用它。他補充說，如果下載沒有得到適當的管理，那么它將使企業(yè)面臨與任何商業(yè)軟件一樣的治理挑戰(zhàn)。

關鍵的區(qū)別在于，沒有一個商業(yè)實體可以讓律師依靠來解決問題。這個補丁需要來自支持這個組件的開源社區(qū)，或者來自本地開發(fā)團隊，后者理想情況下會將它的補丁提交給社區(qū)。

“不管怎樣，如果社區(qū)參與不是這個過程的一部分，那么保持一個補丁兼容的狀態(tài)就會變得更加困難，”Mackey說。

據Mackey說，OSSRA的報告沒有考慮開源軟件的整體安全性。相反，它關注的是在商業(yè)環(huán)境中使用時的治理情況。

“話雖如此，我們確實對數據集中發(fā)現的幾個突出漏洞進行了更深入的分析，以更好地理解什么是核心風險，”他澄清說。

開源軟件安全提出了新的挑戰(zhàn)。SaltStack的首席技術官托馬斯?哈奇(Thomas Hatch)表示，專有軟件將包括開源軟件，這非常普遍，幾乎是普遍現象。

同樣重要的是要記住，專有軟件中包含的開源軟件版本可能不會可靠地公開，或者根本不會公開。跟蹤這幾乎是不可能的，”他告訴LinuxInsider。

開源軟件更安全的最初理由是，許多人的眼睛可以帶來更多的修復。然而，這一論斷似乎并不能解釋小型開源項目在現代的蔓延，Hatch觀察到。

“現在有太多的開源代碼，審計變得越來越困難。我想說，開源軟件的安全狀況今年比去年更差。

雖然大型項目正在改善，但整體的增長速度遠遠超過了跟蹤能力。哈奇說，這份報告非常有用，但作為一個正在進行的探索項目，它將更加強大。

麥基保證說，年復一年地發(fā)布這類報告是為了達到真正的糾正目的。

他解釋說，當該公司5年前開始發(fā)布OSSRA報告時，企業(yè)領導人對開源活動對其整體運營的影響缺乏認識。

這就是大量引人注目的開源漏洞開發(fā)的背景。五年后，隨著開放源碼的發(fā)展，監(jiān)管要求的復雜性也在增加。

OSSRA的報告基于在并購中獲得的商業(yè)應用。Mackey說，底層數據提供了一個關于開源的視角，這是無法通過對開發(fā)團隊的簡單調查或其他輕量級數據收集獲得的。

StackRox的首席技術官Ali Golshan說，Synopsys 2020 OSSRA報告提供了一個高水平趨勢的良好指標。但是，公司在決策時應該考慮更多的東西，特別是與開源安全相關的東西。

他告訴LinuxInsider:“隨著DevOps實踐與開源解決方案的結合，導致云原生技術的更廣泛部署，與開源相關的風險問題變得越來越動態(tài)?！?/p>

整體攻擊面在云原生空間中發(fā)生了重大變化——從傳統(tǒng)的攻擊和運行時攻擊轉向了構建過程中暴露的更大的攻擊面，Golshan指出。

他提醒說，從操作的角度來看，在使用開源組件的同時使用云本地技術可能是有利的，但從安全的角度來看則是有挑戰(zhàn)性的。“像Synopsys這樣的報告應該被認為是一個很好的提醒，可以更仔細地查看如何保護構建過程?！?/p>

Jack M. Germain自2003年起擔任ECT新聞網絡記者。他主要關注的領域是企業(yè)IT、Linux和開源技術。他寫了許多關于Linux發(fā)行版和其他開源軟件的評論。杰克的電子郵件。