开源漏洞困扰企业代码库系统「附报告」

漏洞仍然是企业中使用的开源系统的常见元素，其中就包含报道过导致Equifax数据泄露的漏洞。

一份关于企业安全状况的新报告表明，由于使用了开源组件，大多数正在使用的代码库都包含已知的漏洞。

在周二，Synopsys发布了Black Duck漏洞扫描软件，并在Synopsys 2018年开源安全与风险分析（OSSRA）报告中指出，开源应用在企业中正在兴起 - 但安全控制措施并不一定符合这一速度。

采用开源项目，软件和程序库已经成为企业的共同主题。开源系统可为开发人员和企业节省大量时间和金钱，而且从技术到核心服务领域的众多知名厂商每天都会使用开源组件。

然而，开源项目的本质意味着，随着开发人员无偿放弃时间，有时候，漏洞可能会蹿到网络中，并导致混乱进一步恶化，除非用户和员工知道其使用方式并定期维护安全检查。

例如，2017年，Equifax指责开源Apache Struts被用于网络攻击，导致了1.43亿条记录的妥协。

同一年，Black Duck Software的研究人员通过对企业中1,000种常用应用程序的审计发现，96％的企业使用开源软件，60％以上包含由于这些组件造成的安全漏洞。

一些被发现的漏洞已存在超过了四年之久。

这似乎没有什么变化。这家总部位于马里兰州伯灵顿的公司最新研究表明，让Equifax痛心的是三分之一的企业代码库仍未修补这同一款漏洞。

在对包括网络安全，汽车，医疗保健，制造和移动应用等行业公司所使用的1,100个商业数据库进行审计后发现，每个代码库的平均开源组件数量为257个，该数据在12个月内增长了75％。

然而，由于开源组件的原因，所检查的代码库78％的比例中包含至少一个安全漏洞，平均每个代码库发现64个漏洞。代码库中发现的许多安全缺陷早在六年前就已公开披露过。

据研究人员称，发现的漏洞中有54％是严重问题，17％包含众所周知的漏洞，如Heartbleed，Logjam，Freak，Drown或Poodle。

总共有8％的数据库使用Apache Struts，其中33％的代码库包含漏洞（CVE-2017-5638），这显然是Equifax违规造成的问题。

也许具有讽刺意味的是，IT和软件基础设施行业以及网络安全系统中使用的代码库中存在的漏洞最多，分别为67％和41％。

行业中高安全风险的频率

“由于现代软件和基础设施在很大程度上依赖于开源技术，对使用组件有清晰的认知是公司治理的关键部分，”Synopsys的Black Duck技术推广人员Tim Mackey说。 “随着开源应用的增长，企业需要确保他们有工具来检测开源组件中的漏洞，并管理他们使用开源可能需要的任何许可证合规性。”

Synopsys 2018年开源安全与风险分析（OSSRA）报告下载

请关注【云技术实践】公众号后台回复关键字：2018613

译者介绍

武楠，就职于华讯网络顾问工程师，主攻方向云计算及网络。

↓↓↓ 点击"阅读原文" 【加入云技术社区】

相关阅读：

高端私有云项目交流群，欢迎加入！

Recommend