开源已经接管了服务器端,但是管理员在保持软件补丁和更新方面做得很糟糕。
黑鸭软件,一个开源安全审计软件的开发者,已经发布了它的每年的开源安全与风险分析它发现企业开源软件充满了安全漏洞和遵从性问题。
根据这项研究,去年该公司扫描的96%的应用程序中都发现了开源组件,平均每个应用程序中有257个开源实例。
开源代码库的平均百分比上升到57%,而前一年只有36%,这在一年内是一个很大的增长。许多应用程序现在包含了比私有代码更多的开放源代码。
然而,代码库的78%已审查包含至少一个未打补丁的脆弱性,以及平均每代码库64个已知漏洞。在物联网,其中代码的77%是开源的互联网,审计发现,平均每677层应用程序的漏洞。4800开源安全漏洞的报道在2017年,但整个开源应用程序和操作系统的全谱的。
作者指出商业软件和开源软件的一个关键区别是如何处理补丁。商业软件的更新会自动推送给用户,这一点Windows用户再清楚不过了。开放源码不会这样做。您必须手动检查更新,即使只是运行补丁/更新检查器。
而且因为有很多重要的开源产品,比如开发者工具,你很难跟踪你使用的所有东西。“开源可以通过多种方式输入代码库,不仅可以通过第三方供应商和外部开发团队,还可以通过内部开发人员,”作者写道。“如果一个组织没有意识到它所使用的所有开源软件,它就无法抵御针对这些组件中已知漏洞的常见攻击,而且它还暴露了自己的许可遵从性风险。”
例如,审计软件在40%的被扫描的应用程序中发现了Bootstrap,这是一个使用HTML、CSS和JavaScript开发的开源工具包,其次是jQuery,占36%。它的另一个值得注意的用途是Lodash,一个为编程任务提供实用函数的JavaScript库。报告称:“Lodash是医疗、物联网、互联网、营销、电子商务和电信等行业应用中最常见的开源组件。”
这是否意味着你的开源应用程序充满了漏洞?可能不会,如果你一直很好地保持你的系统补丁。这份报告发现人们没有修补他们的系统;这就是问题所在。
他们多年来都没有解决问题。Black Duck发现,该漏洞平均存在了6年,4%的被审计的代码库仍然包含“心脏出血”,这是一个四年前人人都在谈论的漏洞。
现在,黑鸭子使其生活卖点审计软件,所以它不应该太奇怪听到它敲响的钟声。但事实却是一个倔强的事情。任何人都不应该有一个应用程序打补丁去了六年。我能看到这样的态度从何而来。很多人都有这样的观念,即开源软件是发射后不管;您可以部署它,忘记它。
时间最长的,那里的自由,开源软件社区,它的软件是固有的更好,因为它的代码是开源的,大家可以看一下,所以安全漏洞是越早抓住了意义。心脏出血漏洞荒废这一想法,而这些研究结果肯定不回了这种说法。
所以保持冷静,继续更新你的软件。