包含Apache Struts的审计代码库中有三分之一受到同样的漏洞的影响,这种漏洞促成了一年前的Equifax hack
最近的一项研究发现,开源代码在商业和内部软件应用程序中无处不在,但安全管理并未跟上。
根据对2017年审计的1,100多个商业代码库的数据进行分析,Synopsys的Black Duck 2018年开源安全和风险分析(OSSRA)报告的作者发现,几乎每个代码库(96%)都包含开源组件。这几乎不是任何新闻(比率本身每年都保持不变),但仔细观察会发现一个更有趣的画面。
2017年和2018年报告之间,审计应用程序代码库中开源组件的百分比从36%增加到57%。“许多应用程序现在包含的开源比专有代码更多,”报告中写道。每个代码库平均包含257个开源组件 – 比报告的上一版增加了75%。
(在)安全
令人担忧的是,漏洞也在步调一致地上升,因为78%的代码库至少包含一个漏洞,而上一份报告中这一漏洞占67%。每个代码库发现的平均安全漏洞数为64 – 增加了134%。大多数错误(54%)被归类为高风险。
更重要的是,OSSRA报告中包含的代码库中有17%至少包含一个众所周知的漏洞,如Heartbleed,POODLE,Logjam,FREAK和DROWN–尽管过去几天这些漏洞都受到了极大的关注。年份。例如,Heartbleed是一个影响开源OpenSSL加密库的漏洞,在漏洞遭到网络安全风暴四年后,4%的扫描代码库中发现了这一漏洞。
还记得Equifax hack吗?这一攻击于2017年5月开始,并在四个月后被披露,受到流行的开源软件包Apache Struts 漏洞的推动。事实上,该补丁已经在黑客攻击前两个月发布。OSSRA报告现已发现,在应用程序中使用Apache Struts的分析代码库中有三分之一包含相同的缺陷。
在报告中包含的九个行业中,在互联网和软件基础设施(67%),互联网和移动应用程序(60%)以及虚拟现实,游戏,娱乐和媒体应用中检测到具有高安全风险的代码库比例最高。 (50%)。
正如OSSRA所指出的那样,2017年发现了近5,000个开源漏洞,自2000年以来总数达到近40,000个。事实上,它们的数量是一个更大的趋势的一部分,因为去年的漏洞数量创下历史新高源和专有代码相结合。报告的漏洞数量从2016年的6,400个飙升至2017年的14,700个以上。
