一项新的研究显示,2021年开源软件在常用代码库中的份额增长到78%,然而公司继续使用过时且不再维护的组件,这使得他们的软件可能容易受到攻击。
根据报告显示,绝大多数软件代码库包含至少一个漏洞 (81%),使用过期四年以上的开源组件 (85%),并包含过去两年内没有开发的组件 (88 %)。尽管有些数据显示比前一年有所改善,但84%的代码库至少存在一个漏洞,而91%的代码库甚至在两年前就停止了开发。
总体而言,数据表明企业开始在漏洞治理方面取得了一些进展,但还有很长的路要走。
首席安全策略师表示:“从软件供应链的角度来看,人们试图在此方面未来采取一些行动而有些想法,但目前在重大事项上还没有取得很大的进展。
咨询公司普华永道(PricewaterhouseCoopers)数据显示,由于企业收购者、私募股权公司和特殊目的收购公司(SPACs)之间的激烈竞争,2021年的并购数量激增了24%。活动的增加导致了扫描代码库的激增。
报告称,总体而言,前10大高风险漏洞的流行率显著下降。例如,在2020年的数据中,29%的代码库的组件暴露了最普遍的漏洞,而在今年报告中,2021年数据中仅在8%的代码库中确定了最普遍的高风险漏洞。
报告指出:“所有反复出现的高风险漏洞都显著减少。” “及时识别、确定优先级和减少高风险漏洞可以帮助团队解决对其组织构成最大威胁的风险。”
开源的持续传播
随着公司不断增加对开源软件的使用和依赖,2019年,开源占安全公司审计的代码库的70%,去年攀升至75%。现在78% 的公司软件的安全性在很大程度上取决于其开发团队使用的开源组件的状态。
然而,开源软件项目的质量仍然参差不齐,特别是在安全性方面。根据报告,几乎四分之一的软件项目(23%)只有一个开发人员贡献了大部分代码,这可能会对使用该库作为自己软件组件的公司构成风险。
不幸的是,公司还没有消除开源组件和依赖项带来的最大风险。由于88%的代码库包含过时的版本(未应用更新的组件),组织需要用软件材料清单(SBOM)来跟踪他们在开发中使用的软件和项目。
更加注重SBOM的使用
随着开源组件使用不断增加,及当前开源安全问题所面临的现状,在接下来的一段时间,SBOM将变得更加普遍,但这并不能从根源上增加开源组件的安全性。
当前面临的问题是,大多数人不知道如何处理SBOM,包括如何制定、使用及阅读它,并使其发挥作用。
随着公司对其软件中使用的组件分析越来越熟练,能解决的安全问题会越来越多。由于存在各种各样的开源许可,企业需要注意自己在开发中所包含了哪些软件。目前,超过一半经过审计的代码库存在许可证冲突,20%包含没有许可证或非标准许可证的开源代码。
文章来源:
