现在诸多企业使用开源代码的应用程序,原因当然是此程序有很多好处,其中包括它的透明度、灵活性以及它的成本效益和社区支持。但是这些产品的安全性如何保障呢?这就需要我们迅速发现这些安全漏洞,但是修补这些漏洞和应用修补程序却是另一回事。事实上过时的开源组件在安全漏洞中也发挥了作用,所以大家不能忽视。为了让大家免受开源漏洞的侵害,今天我们分享几个技巧,如果您遇到了这样的问题,也可以及时止损。
在营销技术行业中看到的所有公司(包括潜在客户生成的CRM和社交媒体)在其应用程序中都包含开源代码。其中,95%的代码库具有开源漏洞。医疗保健部门中约98%的代码库包含开源,其中67%具有安全漏洞。
金融服务行业中约有97%的代码库包含开源,其中超过40%的代码库具有漏洞。零售和电子商务部门分析的代码库中有92%使用的是开源,其中71%的代码库存在安全漏洞。
许多安全漏洞是废弃的开源组件的结果。过去两年中,整整91%的代码库都具有开源依赖项,并且没有开发活动,这意味着代码没有改进,也没有安全补丁。
过去两年中,超过90%的代码库使用的是开放源代码,没有开发活动,这不足为奇。与商业软件不同,供应商可以将信息推送给用户,而开源软件则需要社区参与才能蓬勃发展。孤立项目并不是一个新问题,但是一旦发生,解决安全问题就变得更加困难。
过时的开源组件在安全漏洞中也发挥了作用。研究人员检查的代码库中约有85%具有开源依赖项,这些依赖项已过时四年以上。这些组件受到发布安全修复程序的活跃开发人员社区的支持,但是商业客户不一定会应用这些修复程序。
开源漏洞正在上升。2020年,具有易受攻击的开源组件的代码库的比例达到84%,比2019年增加9%。与此同时,具有高风险漏洞的代码库的比例从49%上升到60%。2019年在代码库中发现的几个顶级开源漏洞在2020年仍然存在。
为了帮助企业保护自己免受开源漏洞的侵害,研究人员分享了以下技巧:
1、创建您的开源资产清单。减少漏洞的暴露开始于完整的开源资产清单。理想情况下,每当部署新软件或更新软件时,都将更新此清单,以便您确定是否已正确修补所有内容。确保包括每个开源组件的来源,因为这将告诉您在哪里可以找到正确的补丁。
2、审查供应商如何处理补丁。当您购买新设备或应用程序时,请查看供应商如何发布软件补丁。如果您不能自己确定,请与支持团队联系。
3、必要时考虑其他供应商。如果供应商无法为您提供帮助或似乎没有在更新自己的产品,则可能是时候找到其他供应商了。如果供应商跟不上补丁程序,那么安全性可能就没有得到应有的重视。
4、在应用安全修补程序之前,请先对其进行检查。在应用任何安全补丁之前,请确保完全检查它。这对于开源代码尤为重要,因为开发人员不知道您的特定环境并且无法对其进行测试。
以上,我们介绍了关于开源程序安全漏洞和及时止损的方法,希望能够对您的企业信息安全有所帮助。如果您想了解更多关于开源程序安全的相关信息,请您继续关注中培伟业。