开源代码成小程序开发便捷“工具” 谨慎使用规避漏洞风险

301 阅读4分钟

小程序打造了轻便又随时可用的用户体验,它无需独立安装,体积小、开发速度快、维护成本低,不存在兼容性问题,不但方便开发人员而且也方便用户使用。随着小程序使用需求增加,开发公司为了快速完成开发任务,往往会从网上选择小程序开源代码,其中不乏一些公司不了解相关开源许可规定,也不进行代码安全测试就直接拿来用。这么做虽然可以低成本高效率的开发应用软件,但抛开侵权问题不说,开源代码背后隐藏的数据安全和隐私安全风险最后谁来买单?

开源代码库存在安全漏洞

2019年5月,GitHub遭到了黑客的攻击勒索,370多名用户的源代码和信息被名为“gitb ackup”的账号删除。与此同时,微软开源开发平台被黑客擦除了其392个代码储存库。有分析称,开源平台遭受攻击的原因是平台上开发的应用程序存在漏洞被黑客利用导致的。

Gartner的一项调查显示,有99%的组织在其IT系统中使用了开源软件。如今随着敏捷开发与快速迭代的盛行,应用软件开发不再像从前那么单一,现在的开发代码有很多代码成分,除了自己编写的部分之外,还包括开源代码、代码复用、商业应用、第三方库和外包开发。这种混杂的开发模式导致源代码存在一定的安全风险。

根据Snyk公司发布的《2019 年开源安全现状调查报告》显示,“过去两年内应用程序的漏洞数量增长了88%,仅2018年包管理器(NPM )的漏洞数量就增长了47%”。

开源软件具有开放、共同参与、自由传播等特性,一方面由于开发者自身安全意识和技术水平不足容易产生软件漏洞,另一方面也无法避免恶意人员向开源软件注入木马程序实施软件供应链攻击等安全风险引入行为从而对我们的数据安全造成威胁。

WhiteSource调查显示,2019年公开的开源软件漏洞数量激增至六千多个已报告漏洞,开源代码漏洞数增加了近一半,96.8%的开发人员依赖于开源软件,还经常会出现不及时更新开源软件漏洞补丁的现象。中国软件供应链安全分析报告显示,一多半应用项目中存在高危开源漏洞。这些存在于开源软件中的安全漏洞很可能被利用,从而造成很大的损失。

开源漏洞多可怕?

开源组件存在漏洞时这个漏洞会迅速公布。本来公布漏洞是为了让更多的人及时发现漏洞并进行必要的修复,但与此同时,一些“图谋不轨”的人也同样可以看到这些信息。他们几乎不需要付出太多努力,就能了解哪些组件更容易受到攻击以及如何实施攻击。然后简单的查找一下哪些公司的安全防护系统较差,安全意识薄弱,反应迟钝,就在漏洞被修复之前实施网络攻击。

使用开源代码时如何规避漏洞风险?

避免不了使用开源代码,那么开发应用软件使用到开源代码时,该如何规避代码漏洞风险?

  1. 使用专业的开源代码检测工具(SCA)对代码进行检测,通过检测确认代码组成成分,进而检查代码的合规性风险及安全漏洞风险;

  2. 在代码测试过程中,通过静态代码检测工具(SAST)、模糊测试等方式及时发现代码中的缺陷,提高代码质量。

随着开源代码的使用率越来越高,开源软件的安全漏洞潜在的风险越来越大,一旦安全漏洞爆发,影响范围将是一个行业甚至社会的正常运转。借助高效恰当的安全管理工具,谨慎合理使用开源代码,既可以避免开源代码侵权,避开代码安全漏洞等开源管理风险事情的发生,同时也可以节省应用软件开发成本,提高开发效率,提升数据安全抵御网络攻击的能力,从而赢得市场竞争。

参读链接:

www.woocoom.com/b021.html?i…

www.gjbmj.gov.cn/n1/2020/112…