《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 藏在深山人未識(shí),,終有時(shí)日露崢嶸:開(kāi)源第三方庫(kù)的安全狀況令人擔(dān)憂

藏在深山人未識(shí),,終有時(shí)日露崢嶸:開(kāi)源第三方庫(kù)的安全狀況令人擔(dān)憂

2021-06-24
來(lái)源:網(wǎng)空閑話

應(yīng)用安全公司Veracode和數(shù)據(jù)科學(xué)研究所Cyentia聯(lián)合編寫(xiě)的最新軟件安全報(bào)告顯示,大多數(shù)開(kāi)發(fā)者在軟件中包含第三方庫(kù)之后,,從未更新過(guò)這些庫(kù)。報(bào)告的重點(diǎn)是關(guān)注開(kāi)源軟件和開(kāi)發(fā)者如何處理他們使用的第三方庫(kù)的安全性,。

  一份包含30萬(wàn)多個(gè)獨(dú)特庫(kù)的超過(guò)86000個(gè)庫(kù)的分析報(bào)告以及與1700多名開(kāi)發(fā)者的討論顯示,,盡管開(kāi)源領(lǐng)域在不斷變化,,庫(kù)也在不斷發(fā)展,但79%的庫(kù)在被引入應(yīng)用軟件后從未更新,。

  雖然有些開(kāi)發(fā)人員在了解到他們使用的庫(kù)中的漏洞后會(huì)迅速采取行動(dòng)——25%的漏洞在一周內(nèi)就得到了解決——但有一半的安全漏洞在修復(fù)發(fā)布后的7個(gè)月內(nèi)沒(méi)有得到修補(bǔ),。這是因?yàn)殚_(kāi)發(fā)人員缺乏他們需要立即采取行動(dòng)的重要信息。

微信圖片_20210624122404.jpg

  Veracode指出:“當(dāng)開(kāi)發(fā)人員理解漏洞的含義并適當(dāng)?shù)貎?yōu)先考慮安全性時(shí),,他們可以輕松地修復(fù)大多數(shù)缺陷,。”事實(shí)上,,當(dāng)開(kāi)發(fā)人員獲得他們需要的信息時(shí),,一半的漏洞在三周內(nèi)就得到了解決。

  該報(bào)告還發(fā)現(xiàn),,第三方庫(kù)中的大多數(shù)漏洞(92%)可以通過(guò)一個(gè)更新進(jìn)行修補(bǔ),,并且69%的更新代表較小的版本變動(dòng),不太可能破壞應(yīng)用程序的功能,。

  超過(guò)一半的被調(diào)查開(kāi)發(fā)者(52.5%)有正式的庫(kù)評(píng)估流程,,28.4%的人說(shuō)他們不確定(他們要么沒(méi)有正式的流程,要么沒(méi)有意識(shí)到并忽略了它),,19.1%的人承認(rèn)沒(méi)有這樣的流程,。總的來(lái)說(shuō),,超過(guò)80%的開(kāi)發(fā)人員表示,,他們?cè)谶x擇使用庫(kù)的時(shí)候會(huì)考慮安全性。

  Veracode指出:“在大型和不同的團(tuán)隊(duì)中,,開(kāi)發(fā),、共享和遵循統(tǒng)一的政策可能是困難的,這可能會(huì)導(dǎo)致不確定性,?!?/p>

  對(duì)數(shù)以萬(wàn)計(jì)的庫(kù)進(jìn)行反復(fù)掃描發(fā)現(xiàn),第一次掃描中出現(xiàn)的庫(kù)中有65.0%從未更新,。此外,,14%的庫(kù)是在第一次掃描后添加的,并且從未更新,,總共有79%的庫(kù)被添加和遺忘,。

  當(dāng)分析僅限于使用壽命相對(duì)較長(zhǎng)的存儲(chǔ)庫(kù)和多次掃描時(shí),結(jié)果相差不大:73%的庫(kù)從未更新過(guò),。該報(bào)告還顯示,,Ruby庫(kù)被忽略的最多(67.1%),而PHP庫(kù)被維護(hù)的最多(只有37.7%的PHP庫(kù)被添加后又被忽略)。

微信圖片_20210624122407.jpg

  報(bào)告揭示的另一個(gè)令人擔(dān)憂的事實(shí)是,,大約一半包含漏洞的庫(kù)可能需要超過(guò)21個(gè)月的時(shí)間來(lái)更新,,而大約25%的庫(kù)甚至在四年之后都沒(méi)有更新。

  報(bào)告顯示,,當(dāng)?shù)谌綆?kù)中的漏洞暴露時(shí),,一些開(kāi)發(fā)人員會(huì)迅速采取行動(dòng)。具體來(lái)說(shuō),,17%的缺陷在一小時(shí)內(nèi)得到修復(fù),,25%在一周內(nèi)得到修復(fù)。然而,,開(kāi)發(fā)人員要花3個(gè)月的時(shí)間來(lái)修補(bǔ)50%的有漏洞的庫(kù),,而解決75%的漏洞則需要一年的時(shí)間。

  對(duì)于直接依賴和繼承性依賴的庫(kù),,打補(bǔ)丁可能需要2.5倍的時(shí)間,。這同樣適用于復(fù)雜的漏洞,例如任意代碼執(zhí)行缺陷,,這可能需要比典型問(wèn)題花費(fèi)兩倍的時(shí)間來(lái)修復(fù),。遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)bug也需要更長(zhǎng)的時(shí)間來(lái)解決。

  開(kāi)源庫(kù)在不斷發(fā)展變化,。這樣的安全狀況顯然形成了軟件供應(yīng)鏈的重大風(fēng)險(xiǎn),。需要謹(jǐn)記的是,大量的庫(kù)選擇是“設(shè)置后忘記它”,,開(kāi)發(fā)人員找到他們需要的功能而不改變它,。兩年前沒(méi)有缺陷的函數(shù)庫(kù)今天可能會(huì)暴露一個(gè)應(yīng)用程序。

  那么,,如何面對(duì)這種變化的挑戰(zhàn)呢,?該報(bào)告的結(jié)果表明,當(dāng)開(kāi)發(fā)人員得到他們需要的信息時(shí),,他們可以迅速采取行動(dòng)來(lái)解決問(wèn)題,。它的幫助在于,大多數(shù)修復(fù)并不比一個(gè)小的軟件更新更費(fèi)力,,即使是最復(fù)雜的應(yīng)用程序也不太可能破壞內(nèi)部工作,。

  Veracode在報(bào)告發(fā)布消息中稱,確保軟件供應(yīng)鏈的安全正引起白宮的注意,。上個(gè)月,,白宮發(fā)布了一項(xiàng)關(guān)于網(wǎng)絡(luò)安全的行政命令,其中近25%的內(nèi)容關(guān)注于確保軟件供應(yīng)鏈的安全,。接下來(lái),,向聯(lián)邦政府銷售的軟件供應(yīng)商將被要求公開(kāi)其軟件的組成,,并確保軟件應(yīng)用程序已經(jīng)過(guò)自動(dòng)化測(cè)試。

  Veracode的聯(lián)合創(chuàng)始人和首席技術(shù)官Chris Wysopal說(shuō):“隨著行政命令的不斷落實(shí),,任何軟件開(kāi)發(fā)人員都應(yīng)該確保他們?cè)谲浖_(kāi)發(fā)生命周期的早期就經(jīng)常掃描他們的軟件,。開(kāi)放源碼軟件的日益普及,加上越來(lái)越苛刻的開(kāi)發(fā)周期,,導(dǎo)致了軟件漏洞的高發(fā)傾向。在流程的早期進(jìn)行掃描可以顯著降低風(fēng)險(xiǎn),,而且大多數(shù)修復(fù)都是微小改動(dòng),,因此不會(huì)影響最復(fù)雜軟件的功能?!?/p>

  延伸閱讀

  今年6月初奇安信集團(tuán)發(fā)布《2021年中國(guó)軟件供應(yīng)鏈安全綜合分析報(bào)告》,,全面從開(kāi)源軟件生態(tài)發(fā)展?fàn)顩r、開(kāi)源軟件源代碼安全狀況,、開(kāi)源軟件公開(kāi)報(bào)告漏洞狀況,、開(kāi)源軟件活躍度狀況等四個(gè)方面對(duì)2020年開(kāi)源軟件生態(tài)發(fā)展與安全狀況進(jìn)行綜合分析。報(bào)告顯示,,1,、每1000行代碼就有超過(guò)10個(gè)安全缺陷。2,、超8成項(xiàng)目存在高危開(kāi)源軟件漏洞,。3、開(kāi)源軟件活躍度狀況堪憂,,61.6%的開(kāi)源軟件處于不活躍狀態(tài),。4、18年前的老舊開(kāi)源軟件版本仍在被使用卻無(wú)人更新,?;A(chǔ)薄弱、意識(shí)不足,、開(kāi)源漏洞風(fēng)險(xiǎn),、開(kāi)源軟件運(yùn)維風(fēng)險(xiǎn)、活躍度狀況,,等等,,軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)近在眼前。真是“藏在深山人未識(shí),,終有時(shí)日露崢嶸”,。

  關(guān)于Veracode

  Veracode創(chuàng)立于2006年,是全球領(lǐng)先的獨(dú)立應(yīng)用安全合作伙伴,,旨在創(chuàng)建安全的軟件,,降低安全漏洞風(fēng)險(xiǎn),提高安全性和開(kāi)發(fā)團(tuán)隊(duì)的生產(chǎn)力。Veracode技術(shù)的公司可以通過(guò)將流程自動(dòng)化,、整合,、速度和響應(yīng)能力相結(jié)合,幫助各企業(yè)獲得準(zhǔn)確可靠的結(jié)果,,從而讓客戶將精力集中在修復(fù)而不僅僅是查找潛在的漏洞上,。Veracode為全球各行各業(yè)的2,500家客戶提供服務(wù),包括三分之一的財(cái)富100強(qiáng)和超過(guò)四分之一的福布斯最具價(jià)值品牌的企業(yè),。該公司在世界各地都設(shè)有辦事處,。此外,還提供靈活的遠(yuǎn)程工作選擇,,以支持不斷壯大的全球服務(wù)團(tuán)隊(duì),。

  關(guān)于Cyentia

  Cyentia Institute是一家研究數(shù)據(jù)科學(xué)的企業(yè),其使命是增進(jìn)網(wǎng)絡(luò)安全行業(yè)的知識(shí),,通過(guò)與供應(yīng)商和其他組織合作發(fā)布一系列高質(zhì)量的數(shù)據(jù)驅(qū)動(dòng)內(nèi)容來(lái)實(shí)現(xiàn)這一目標(biāo),。該團(tuán)隊(duì)利用多年的經(jīng)驗(yàn)來(lái)促進(jìn)網(wǎng)絡(luò)安全知識(shí)和實(shí)踐。作為值得信賴的行業(yè)領(lǐng)導(dǎo)者,,多年來(lái)致力于提高研究和可用信息的質(zhì)量,。該研究機(jī)構(gòu)對(duì)研究方法學(xué)、強(qiáng)大的數(shù)據(jù)分析和溝通技巧以及豐富的網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)知識(shí)有著深刻的了解,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]