作为开源代码成为商业和本土的应用越来越普及,基于它的漏洞将在今年增加20%攻击的数量,预测黑鸭子软件,它收集关于开源项目的统计数据。
这是由50%或更多的自由,开源软件的商业软件项目数量从3%上升到2011年的今天33%,迈克Pittenger,在安全战略的副总裁黑鸭子软件。
平均商业应用程序使用超过100个开源组件,他说,和商业应用的三分之二都在它的已知漏洞的代码。
最糟糕的是,往往没有办法让购房者知道开源组件,在软件中他们购买。
“通常情况下,企业都不太主动,”他说。当他们为客户提供的组件列表,它通常是不完整的。“如果你要扫描,而无需供应商的许可二进制,你很可能违反其许可协议,可能让自己陷入了很大的麻烦。”
一些大型企业买家可以有杠杆第三方喜欢黑鸭子,要求充分披露供应商和扫描。
避免开源软件是不是一种选择。许多开放源代码库是事实上的行业标准,并从头开始编写相同的代码需要一定的时间,这延迟了上市时间,并伤害了公司的竞争力。其结果是,使用开源代码的商业软件厂商的趋势正在加速,Pittenger说。
同样的逻辑也适用于企业内部构建软件,埃德莫伊尔,在思想领导和研究总监ISACA,网络安全专业人士的全球性组织。
“还有就是了丰富的活动项目,这与它带来的安全和功能更新了可靠的流社会的支持,”他补充说。"For certain situations, there is a security advantage in being able to audit the codebase, and of course the ability to heavily customize the software. A good rule of thumb is that if there’s a commercial tool to do something, there’s probably an open source tool that offers a similar feature set."
然而,“许多眼睛”的方法来检查开放源代码的漏洞并不总是奏效。
“任何人都可以审核代码,但它似乎是每个人都认为别人会审核它,没有人做,” Javvad马利克,安全倡导者在说AlienVault。“因此,这是一个问题。”
其结果是,管理的开源组件正快速成长在一个非常棘手的问题 - 和坏人都意识到了这一点。
开放源代码是无处不在的,所以攻击者可以大量的目标去后用相同的漏洞。由于跟踪开放源代码的困难,用户通常不会使补丁和更新,因此黑客可以利用已知的vulnerablities和漏洞的发布实例。
物联网的发展也成为一个主要的安全问题,去年和今年将继续是一个问题,专家预测。
“很多开源是智能设备和物联网,这就是与未来发生的僵尸网络所使用,”马利克说。
同时,开发商往往不检查漏洞开放源代码,或怀疑有问题,但使用它无论如何,由于最后期限的压力。因此,不仅是未打补丁的漏洞还在闲逛,但新的代码编写与已经建成的时候,已知的漏洞,说黑鸭子的Pittenger。
在商业软件项目的一个漏洞的平均年龄为五年,他说。
该心脏出血漏洞错误已在OpenSSL库发现在2014年初,被广为宣传。但去年,它仍然存在于测试应用的10%。
此外,2000和4000之间的新的开源安全漏洞每年都发现,Pittenger增加。
解决这个问题,需要对企业软件开发者的部分软件供应商和其客户的行动,以及安全意识的 - 但它很可能会变得更糟,它开始变好之前。
这个故事,“报告:基于开源漏洞的攻击将增长今年20%的”最初发表CSO 。