開源代碼存在安全隱患:一個項目平均有49個漏洞


雖然開源軟件在開發人員和科技公司中日益受到歡迎,但最新報告披露瞭當前開源環境所存在的安全隱患。在最新《TheStateofOpen-SourceSecurity》報告中,開源代碼的無限制部署正逐漸成為一種安全風險。

開發者安全公司 Snyk 和 Linux 基金會的研究聲稱,超過三分之一的組織對其開源軟件的安全性沒有很高的信心。 Snyk 開發者關系總監 Matt Jarvis 談到這份報告時說:

今天的軟件開發人員擁有自己的供應鏈——他們不是組裝汽車零件,而是通過將現有的開源組件與其獨特的代碼拼湊在一起來組裝代碼。雖然這會提高生產力和創新,但它也帶來瞭重大的安全問題。

這份史無前例的報告發現瞭廣泛的證據,表明業界對當今開源安全的狀態還很幼稚。我們計劃與 Linux 基金會一起利用這些發現來進一步教育和裝備世界上的開發人員,使他們能夠繼續快速構建,同時保持安全。

該研究聲稱,一個應用程序開發項目平均有 49 個漏洞和 80 個直接依賴項。此外,修復開源項目漏洞所需的時間也在穩步增加。早在 2018 年,修復安全漏洞平均需要 49 天。2021年,開發一個補丁大約需要 110 天。

該報告稱,隻有 49% 的組織制定瞭開源軟件開發或使用的安全策略。而且,對於大中型公司來說,這個數字僅為 27%。大約 30% 的組織甚至承認,他們的團隊中沒有人直接負責,甚至沒有解決開源安全問題。順便說一句,這些公司沒有專門的開源安全策略。


相關推薦

2022-07-25

與集市》一書中形容Linux系統的話。這本書後來被譽為“開源運動的《聖經》,顛覆傳統的軟件開發思路,影響整個軟件開發領域”。而讓他驚訝的Linux系統也一路成長,今天已是大多數計算機啟動時最先加載的程序之一,也是

2022-07-16

經歷數十年的發展,以Linux為代表的的開源軟件,已經在人們的日常工作和生活中做到“潤物細無聲”。現實是,開源代碼幾乎有在地球上的每一臺計算機上運行。但與此同時,美國國防部高級研究計劃局(DARPA)也對其可信程

2022-09-22

洞,正在重新引發人們的關註,因為它可能對超過35萬個開源存儲庫項目造成影響。其實早在2007年,就已經有安全研究人員披露並標記過CVE-2007-4559。遺憾的是,它一直沒有獲得正式的修復補丁。唯一的緩解措施,也隻是在更新

2023-09-09

rian Behlendorf,這句話正是他在最後吐露的最真摯且崇高的開源理想。時過境遷,Brian 現在已經是 OpenSSF 基金會的首席技術官,他帶領基金會成為連接一百傢企業的龐大組織,將安全的保護散步開源領域的每一處,預防下一次“Log

2022-08-30

存在Google旗下GitHub組織的公共存儲庫中的所有最新版本的開源軟件(包括存儲庫設置)。這些項目的第三方依賴(在提交給Google的OSS VRP之前需要事先通知受影響的依賴方)Google現在接受的提交類型包括供應鏈妥協、設計缺陷和

2023-04-01

被秘密操縱......在這裡,我們渴望的類比是Linux作為一個開源操作系統的偉大例子......理論上,人們可以為Linux發現許多漏洞。在現實中,所發生的是社區識別和修復這些漏洞。"關於博文中關於預防風險的第二點,開源版本

2024-03-17

那麼的不合邏輯,比如本周有開發者發現蘋果已經將所有開源項目遷移至微軟的GitHub平臺,蘋果不再自建開源代碼托管平臺。說不合邏輯的並不是蘋果把開源項目遷移至GitHub,而是蘋果甚至都沒有在自傢網站做重定向,因此若通

2024-04-03

6.0 和 5.6.1 版本的 xz 工具和庫中。"不久之後,企業級開源軟件公司紅帽(Red Hat)向 Fedora Rawhide 和 Fedora Linux 40 的用戶發出緊急安全警報。最終,該公司得出結論,Fedora Linux 40 測試版包含兩個受影響的 xz 庫版本。Fedora Rawhide

2024-04-03

洲議會上個月通過《歐洲網絡復原力法案》(CRA),七傢開源基金會正在共同為該法案創建通用規范和標準。Apache軟件基金會、Blender基金會、Eclipse基金會、OpenSSL軟件基金會、PHP基金會、Python軟件基金會和Rust基金會透露,他們

2022-08-29

Google近日宣佈開源Paranoid,該項目主要用於識別各種加密產品中的漏洞。該庫支持測試數字簽名、通用偽隨機數和公鑰等多種類型的加密產品,以識別由編程錯誤或使用弱專有隨機數生成器引起的問題。Paranoid項目可以檢測任意

2024-04-22

炒作發表自己的看法。幾天前,由Linux基金會主辦的北美開源峰會(OpenSourceSummitNorthAmerica)在華盛頓西雅圖閉幕。會上,Linux 之父 Linus Torvalds 與其好友、Verizon 開源項目辦公室負責人 Dirk Hohndel 展開一場對話,深入探討 Linux 開發

2023-04-03

士的時候,也感謝他讓很多人都入 FFmpeg 的門,因為這套開源項目幾乎是想要玩轉音視頻的必備技能。不過話又說回來,憑啥這個看著像一串驗證碼的東西,能夠成為許多開發者的必修課?因為我們日常生活中再熟悉不過的各種

2022-06-23

在工作瞭30年後,Linux之父LinusTorvalds依然對這款開源操作操作和未來的創新前景充滿瞭熱情。時至今日,Linux已經成為雲計算、邊緣、嵌入式和物聯網等技術的重要基礎,為全球數十億臺設備提供著底層支撐。而從一個開發的貢

2022-07-04

英國政府在2021年發佈的《技術規范》中承諾使用更多的開源軟件,但在一項新的研究中,38%的政府技術工作者表示他們的部門仍然沒有使用任何開源軟件。在一個更積極的方面,數據管理公司Aiven的研究顯示,71%的英國政府技術