近日,Linux基金会和Snyk发布的一项调查发现,不到一半的受访者 (49%) 为那些为使用或开发开源软件制定了安全策略的组织工作。
Linux基金会和Snyk调查了550名软件开发专业人员,将近三分之一(30%)没有任何安全策略的受访者承认,他们的团队中目前没有人直接解决开源安全问题。41%的人表示她们对自己的开源软件安全性没有很高的信心。59%的受访者表示他们部署的开源软件在一定程度上或高度安全。
Snyk 开发者关系主管 Matt Jarvis 表示,许多组织并不了解开源软件现在成为网络犯罪分子的目标,网络犯罪分子希望在广泛使用的软件项目中偷偷地插入恶意软件。他补充说,这些组织也对开源软件是如何构建的缺乏清晰的认识。
总的来说,调查发现,平均每个应用程序开发项目有49个漏洞,80个直接依赖于开源软件。只有18%的受访者表示,为传递依赖所采取的控制措施充满信心。发现的所有漏洞中有40%是在传递依赖项中发现的。
调查显示,只有三分之一 (33%) 的受访者在持续集成过程中使用静态应用程序安全测试 (SAST) 工具或软件成分分析 (SCA) 工具来发现这些漏洞。总体而言,44%的人表示他们使用某种类型的工具来分析源代码。
在附加功能方面,59%的人表示他们希望看到更多的智能工具能添加进去,而52%的人表示需要更明确地定义网络安全最佳实践。近一半(49%)的人还希望增加自动化和安全审计工具。
调查还发现,修复开源项目中的漏洞时间要比专有项目多19%的时间。在有安全政策的组织中,80%的责任归属于安全团队。
开源安全基金会(OpenSSF)是Linux基金会的一个分支机构,它专注于10项投资,总共需要超过1.5亿美元的资金,以推动开源软件项目的维护者更多地采用DevSecOps的最佳实践。今天的开发人员经常重复使用开源软件。问题是,其中许多项目是由少数程序员维护的,他们自愿贡献自己的时间和精力来构建其他人可以免费使用的组件。像任何其他开发人员一样,这些个人拥有的安全专业知识是有限的。确保项目和软件安全的责任在决定部署该软件的组织身上。
希望IT供应商和大型企业IT组织在重复使用开源代码的同时,加强开源组件及软件代码的安全建设。
文章来源:
