被拋棄的開(kāi)放源代碼增加了商業(yè)軟件的安全風(fēng)險(xiǎn)

根據(jù)本周二發(fā)布的Synopsys 2020開(kāi)源安全與風(fēng)險(xiǎn)分析報(bào)告，過(guò)時(shí)或廢棄的開(kāi)源組件在幾乎所有商業(yè)軟件中都存在，使企業(yè)和用戶應(yīng)用程序面臨安全問(wèn)題、違反許可和操作威脅的風(fēng)險(xiǎn)。

Synopsys的研究人員分析了超過(guò)1250個(gè)商業(yè)代碼庫(kù)。Synopsys網(wǎng)絡(luò)安全研究中心(CyRC)審查了黑鴨審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的代碼基礎(chǔ)審計(jì)。

該報(bào)告強(qiáng)調(diào)了商業(yè)應(yīng)用程序中開(kāi)源使用的趨勢(shì)和模式。它提供了見(jiàn)解和建議來(lái)幫助組織更好地管理他們的軟件風(fēng)險(xiǎn)。

2020年OSSRA報(bào)告重申了開(kāi)源在當(dāng)今軟件生態(tài)系統(tǒng)中扮演的關(guān)鍵角色。

Synopsys發(fā)現(xiàn)，在過(guò)去一年審計(jì)的代碼庫(kù)中，有99%至少包含一個(gè)開(kāi)源組件。開(kāi)放源碼占代碼總數(shù)的70%。

該報(bào)告強(qiáng)調(diào)了持續(xù)廣泛使用的老化或廢棄的開(kāi)源組件，這些組件要么已經(jīng)過(guò)時(shí)超過(guò)四年，要么在過(guò)去兩年沒(méi)有任何開(kāi)發(fā)活動(dòng)。

Synopsys網(wǎng)絡(luò)安全研究中心的首席安全戰(zhàn)略家Tim Mackey說(shuō):“我們很難忽視開(kāi)源在現(xiàn)代軟件開(kāi)發(fā)和部署中的重要作用，但是從安全和許可遵從的角度來(lái)看，很容易忽略它對(duì)應(yīng)用程序風(fēng)險(xiǎn)的影響?！?/p>

他告訴LinuxInsider, 2020年OSSRA報(bào)告強(qiáng)調(diào)了組織如何努力有效地跟蹤和管理他們的開(kāi)源風(fēng)險(xiǎn)。這種斗爭(zhēng)包括維護(hù)第三方軟件組件和開(kāi)放源碼依賴關(guān)系的準(zhǔn)確清單。

他說(shuō):“保持信息及時(shí)更新是解決多層次應(yīng)用風(fēng)險(xiǎn)的一個(gè)關(guān)鍵起點(diǎn)?！?/p>

根據(jù)Synopsys的說(shuō)法，在今年的分析中，最令人擔(dān)憂的趨勢(shì)是由非托管的開(kāi)源所帶來(lái)的不斷增加的安全風(fēng)險(xiǎn)。代碼審計(jì)顯示，75%的代碼庫(kù)包含具有已知安全漏洞的開(kāi)放源碼組件。

這一數(shù)字高于去年報(bào)告中的60%。同樣，49%的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞，而這一比例僅為40%。

越來(lái)越多的開(kāi)源軟件被采用，增加了對(duì)商業(yè)軟件中非托管開(kāi)源代碼的警惕。

根據(jù)今年的Syopsys報(bào)告，99%的代碼庫(kù)至少包含一些開(kāi)放源碼，平均每個(gè)代碼庫(kù)包含445個(gè)開(kāi)放源碼組件。與2018年發(fā)現(xiàn)的298個(gè)開(kāi)源組件相比，這是一個(gè)顯著的增長(zhǎng)。經(jīng)過(guò)審計(jì)的代碼中有70%被認(rèn)定為開(kāi)源代碼，這一比例高于2018年的60%，自2015年達(dá)到36%以來(lái)幾乎翻了一番。

麥基說(shuō)，與去年的分析結(jié)果相比，今年的報(bào)告顯示了一些意想不到的進(jìn)展，既有好的結(jié)果，也有壞的結(jié)果。

他說(shuō):“我們看到了總體安全趨勢(shì)的變化，同時(shí)也看到了治理過(guò)程沒(méi)有跟上使用量增加的跡象。”

好消息是，今年是該機(jī)構(gòu)首次沒(méi)有發(fā)現(xiàn)基礎(chǔ)數(shù)據(jù)存在“心臟出血”(HeartBleed)漏洞。這表明，雖然長(zhǎng)尾仍然存在，但是重構(gòu)工作或者僅僅是提高對(duì)高影響漏洞的認(rèn)識(shí)正在產(chǎn)生效果。

壞消息方面，隨著開(kāi)放源碼使用的增加，未修補(bǔ)的漏洞也在增加，說(shuō)明依賴于手動(dòng)過(guò)程。Mackey解釋說(shuō)，這發(fā)生在漏洞披露由于額外的報(bào)告機(jī)構(gòu)而增加的時(shí)候。

最終的結(jié)果是，沒(méi)有自動(dòng)解決方案來(lái)過(guò)濾不適用于它們的cve的企業(yè)，被迫測(cè)試由于應(yīng)用程序或系統(tǒng)組合而不可能被利用的信息披露。

通過(guò)代碼審計(jì)發(fā)現(xiàn)的最值得注意的開(kāi)源風(fēng)險(xiǎn)趨勢(shì)總結(jié)如下:

研究人員發(fā)現(xiàn)，68%的代碼庫(kù)包含某種形式的開(kāi)源許可沖突。33%包含沒(méi)有可識(shí)別許可的開(kāi)源組件。

報(bào)告得出結(jié)論，安全漏洞是一個(gè)主要問(wèn)題。將近一半的代碼庫(kù)包含高風(fēng)險(xiǎn)的漏洞。

其中大約73%的漏洞使代碼庫(kù)所有者面臨可能的法律問(wèn)題。開(kāi)源組件的許可似乎與代碼庫(kù)的整體許可沖突，或者根本沒(méi)有許可。

報(bào)告顯示，不同行業(yè)的許可證沖突發(fā)生率存在顯著差異。

這些沖突從93%的互聯(lián)網(wǎng)和移動(dòng)應(yīng)用到59%的虛擬現(xiàn)實(shí)、游戲、娛樂(lè)和媒體應(yīng)用。

這是Synopsys開(kāi)源安全與風(fēng)險(xiǎn)分析報(bào)告的第五版。它提供了商業(yè)軟件中開(kāi)源安全、遵從性和代碼質(zhì)量風(fēng)險(xiǎn)的當(dāng)前狀態(tài)的深入快照。

其結(jié)果基于Synopsys的開(kāi)源審計(jì)服務(wù)團(tuán)隊(duì)在2019年審查的匿名數(shù)據(jù)。出于代碼審計(jì)的目的，Synopsys將代碼基定義為應(yīng)用程序、服務(wù)或庫(kù)的基礎(chǔ)代碼和庫(kù)。

研究人員將管理軟件定義為識(shí)別和跟蹤的軟件組件的來(lái)源、年齡、許可和版本信息。研究人員還研究了應(yīng)用或缺失的更新和安全補(bǔ)丁。

2020年OSSRA報(bào)告總結(jié)說(shuō)，組織需要更好地維護(hù)開(kāi)源組件。這些代碼是他們構(gòu)建或使用的軟件的關(guān)鍵部分。

麥基說(shuō):“我們繼續(xù)建議企業(yè)在自動(dòng)化方面進(jìn)行投資，以創(chuàng)建準(zhǔn)確的庫(kù)存，但真正的故事是一個(gè)過(guò)程?！薄伴_(kāi)發(fā)、企業(yè)IT和企業(yè)法律團(tuán)隊(duì)需要為開(kāi)源的使用定義一個(gè)過(guò)程?！?/p>

不再建議下載開(kāi)源組件、包或解決方案并簡(jiǎn)單地使用它。他補(bǔ)充說(shuō)，如果下載沒(méi)有得到適當(dāng)?shù)墓芾?，那么它將使企業(yè)面臨與任何商業(yè)軟件一樣的治理挑戰(zhàn)。

關(guān)鍵的區(qū)別在于，沒(méi)有一個(gè)商業(yè)實(shí)體可以讓律師依靠來(lái)解決問(wèn)題。這個(gè)補(bǔ)丁需要來(lái)自支持這個(gè)組件的開(kāi)源社區(qū)，或者來(lái)自本地開(kāi)發(fā)團(tuán)隊(duì)，后者理想情況下會(huì)將它的補(bǔ)丁提交給社區(qū)。

“不管怎樣，如果社區(qū)參與不是這個(gè)過(guò)程的一部分，那么保持一個(gè)補(bǔ)丁兼容的狀態(tài)就會(huì)變得更加困難，”Mackey說(shuō)。

據(jù)Mackey說(shuō)，OSSRA的報(bào)告沒(méi)有考慮開(kāi)源軟件的整體安全性。相反，它關(guān)注的是在商業(yè)環(huán)境中使用時(shí)的治理情況。

“話雖如此，我們確實(shí)對(duì)數(shù)據(jù)集中發(fā)現(xiàn)的幾個(gè)突出漏洞進(jìn)行了更深入的分析，以更好地理解什么是核心風(fēng)險(xiǎn)，”他澄清說(shuō)。

開(kāi)源軟件安全提出了新的挑戰(zhàn)。SaltStack的首席技術(shù)官托馬斯?哈奇(Thomas Hatch)表示，專有軟件將包括開(kāi)源軟件，這非常普遍，幾乎是普遍現(xiàn)象。

同樣重要的是要記住，專有軟件中包含的開(kāi)源軟件版本可能不會(huì)可靠地公開(kāi)，或者根本不會(huì)公開(kāi)。跟蹤這幾乎是不可能的，”他告訴LinuxInsider。

開(kāi)源軟件更安全的最初理由是，許多人的眼睛可以帶來(lái)更多的修復(fù)。然而，這一論斷似乎并不能解釋小型開(kāi)源項(xiàng)目在現(xiàn)代的蔓延，Hatch觀察到。

“現(xiàn)在有太多的開(kāi)源代碼，審計(jì)變得越來(lái)越困難。我想說(shuō)，開(kāi)源軟件的安全狀況今年比去年更差。

雖然大型項(xiàng)目正在改善，但整體的增長(zhǎng)速度遠(yuǎn)遠(yuǎn)超過(guò)了跟蹤能力。哈奇說(shuō)，這份報(bào)告非常有用，但作為一個(gè)正在進(jìn)行的探索項(xiàng)目，它將更加強(qiáng)大。

麥基保證說(shuō)，年復(fù)一年地發(fā)布這類報(bào)告是為了達(dá)到真正的糾正目的。

他解釋說(shuō)，當(dāng)該公司5年前開(kāi)始發(fā)布OSSRA報(bào)告時(shí)，企業(yè)領(lǐng)導(dǎo)人對(duì)開(kāi)源活動(dòng)對(duì)其整體運(yùn)營(yíng)的影響缺乏認(rèn)識(shí)。

這就是大量引人注目的開(kāi)源漏洞開(kāi)發(fā)的背景。五年后，隨著開(kāi)放源碼的發(fā)展，監(jiān)管要求的復(fù)雜性也在增加。

OSSRA的報(bào)告基于在并購(gòu)中獲得的商業(yè)應(yīng)用。Mackey說(shuō)，底層數(shù)據(jù)提供了一個(gè)關(guān)于開(kāi)源的視角，這是無(wú)法通過(guò)對(duì)開(kāi)發(fā)團(tuán)隊(duì)的簡(jiǎn)單調(diào)查或其他輕量級(jí)數(shù)據(jù)收集獲得的。

StackRox的首席技術(shù)官Ali Golshan說(shuō)，Synopsys 2020 OSSRA報(bào)告提供了一個(gè)高水平趨勢(shì)的良好指標(biāo)。但是，公司在決策時(shí)應(yīng)該考慮更多的東西，特別是與開(kāi)源安全相關(guān)的東西。

他告訴LinuxInsider:“隨著DevOps實(shí)踐與開(kāi)源解決方案的結(jié)合，導(dǎo)致云原生技術(shù)的更廣泛部署，與開(kāi)源相關(guān)的風(fēng)險(xiǎn)問(wèn)題變得越來(lái)越動(dòng)態(tài)。”

整體攻擊面在云原生空間中發(fā)生了重大變化——從傳統(tǒng)的攻擊和運(yùn)行時(shí)攻擊轉(zhuǎn)向了構(gòu)建過(guò)程中暴露的更大的攻擊面，Golshan指出。

他提醒說(shuō)，從操作的角度來(lái)看，在使用開(kāi)源組件的同時(shí)使用云本地技術(shù)可能是有利的，但從安全的角度來(lái)看則是有挑戰(zhàn)性的?！跋馭ynopsys這樣的報(bào)告應(yīng)該被認(rèn)為是一個(gè)很好的提醒，可以更仔細(xì)地查看如何保護(hù)構(gòu)建過(guò)程?！?/p>

Jack M. Germain自2003年起擔(dān)任ECT新聞網(wǎng)絡(luò)記者。他主要關(guān)注的領(lǐng)域是企業(yè)IT、Linux和開(kāi)源技術(shù)。他寫了許多關(guān)于Linux發(fā)行版和其他開(kāi)源軟件的評(píng)論。杰克的電子郵件。