缺乏资金、修补缓慢,开源组件安全仍需多方协作努力!
共 1020字,需浏览 3分钟
·
2021-08-11 11:17
尽管越来越多的企业扩大了对开源的使用,但大多数公司并没有回馈给开源社区什么。此外,开源的安全性在继续下降。
当安全研究人员和开源社区在2014年4月披露OpenSSL的心脏滴血漏洞时,该项目——支撑大部分网络安全通信——只有两名全职开发人员。
如此关键的开放源码项目缺乏资源,突出了开放源码项目和组件继续存在的问题:资金不足、修补速度慢,而且逐渐引起网络攻击者的兴趣。
在 Black Hat USA简报会上,两位开源安全倡导者呼吁对开源项目(尤其是关键项目)进行更协调的资助,并在安全研究人员和开发人员之间进行更大规模的合作。
NCC Group 在北美的全球研究主管Jennifer Fernick 在“保护开源软件”的演讲中称,开源软件的安全性是技术生态系统每个部分的基础,但目前开源安全性越来越差。
平均而言,检测开源软件中的典型漏洞需要数年时间,但在野外利用漏洞的速度比以往任何时候都快,并且开发人员在编写安全代码方面并没有变得更好。
两位开源安全基金会 (OpenSSF) 的领导者强调了当前开源软件经济不景气,许多公司依赖其安全性,但很少有公司将员工时间用于实现这一目标。安全研究人员和开发人员没有动力为漏洞编写补丁,而攻击者的首要任务是利用这些漏洞。
很多时候,我们陷入了公地悲剧,我们认为有人看过代码,他们分析了代码,就安全了。但实际上可能不是这样。据Synopsis称,目前84%的代码库至少存在一个安全漏洞。由于开源软件依赖于第三方代码链,安全团队通常很难获得依赖性供应链的全部可见性,而在那些不易察觉的地方的任何漏洞都可能导致整个网络受到破坏。建议企业在软件开发过程中或进行DevsecOps建设时,有必要进行一定的静态代码安全检测及开源代码安全测试,以确保没有在无意间将安全漏洞引入软件,提高软件安全性降低遭到网络攻击的风险。
中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?id=3c8a5a10bba144a7823988356b4fc947
https://www.darkreading.com/edge-articles/security-of-open-source-components-requires-more-collaborative-efforts