缺乏资金、修补缓慢，开源组件安全仍需多方协作努力!

尽管越来越多的企业扩大了对开源的使用，但大多数公司并没有回馈给开源社区什么。此外，开源的安全性在继续下降。

当安全研究人员和开源社区在2014年4月披露OpenSSL的心脏滴血漏洞时，该项目——支撑大部分网络安全通信——只有两名全职开发人员。

如此关键的开放源码项目缺乏资源，突出了开放源码项目和组件继续存在的问题：资金不足、修补速度慢，而且逐渐引起网络攻击者的兴趣。

在 Black Hat USA简报会上，两位开源安全倡导者呼吁对开源项目(尤其是关键项目)进行更协调的资助，并在安全研究人员和开发人员之间进行更大规模的合作。

NCC Group 在北美的全球研究主管Jennifer Fernick 在“保护开源软件”的演讲中称，开源软件的安全性是技术生态系统每个部分的基础，但目前开源安全性越来越差。

平均而言，检测开源软件中的典型漏洞需要数年时间，但在野外利用漏洞的速度比以往任何时候都快，并且开发人员在编写安全代码方面并没有变得更好。

两位开源安全基金会 (OpenSSF) 的领导者强调了当前开源软件经济不景气，许多公司依赖其安全性，但很少有公司将员工时间用于实现这一目标。安全研究人员和开发人员没有动力为漏洞编写补丁，而攻击者的首要任务是利用这些漏洞。

很多时候，我们陷入了公地悲剧，我们认为有人看过代码，他们分析了代码，就安全了。但实际上可能不是这样。据Synopsis称，目前84%的代码库至少存在一个安全漏洞。由于开源软件依赖于第三方代码链，安全团队通常很难获得依赖性供应链的全部可见性，而在那些不易察觉的地方的任何漏洞都可能导致整个网络受到破坏。建议企业在软件开发过程中或进行DevsecOps建设时，有必要进行一定的静态代码安全检测及开源代码安全测试，以确保没有在无意间将安全漏洞引入软件，提高软件安全性降低遭到网络攻击的风险。

中科天齐Wukong(悟空)静态代码检测工具，从源码开始，为您的软件安全保驾护航!

参读链接：

https://www.woocoom.com/b021.html?id=3c8a5a10bba144a7823988356b4fc947

https://www.darkreading.com/edge-articles/security-of-open-source-components-requires-more-collaborative-efforts