有时无法检测到开源软件中的安全漏洞 超过四年。 这是最新的《八度宇宙》报告的主要发现之一 GitHub软件开发托管和管理平台。
但 这个说法并不完全正确, 因为 基于技术进步 以及近年来许多大公司和开发人员加入开源软件的事实,这使得开发,测试工具的创建,尤其是漏洞检测方面的发展日渐加速。
尽管仍然是现实,但资金不足 (导致人力资源减少) 在大多数情况下是搜索的障碍 并发现这些漏洞。
例如,流血就是一个漏洞 密码库中存在的软件 自2012年XNUMX月起使用OpenSSL。 允许攻击者读取服务器或客户端的内存以恢复与传输层安全协议(TLS)通信期间使用的内存。 直到2014年2014月,才发现影响许多Internet服务的漏洞,并于XNUMX年XNUMX月公开。该漏洞为黑客提供了两年的时间来攻击数千台服务器。
据称该漏洞被错误地存储在OpenSSL存储库中 遵循自愿开发人员的建议,以修复错误和改进功能。
这种类型的缺陷 (错误输入) 占项目中发现的83% 托管在GitHub上的开源。 但是,最新的八度宇宙状态报告 指出17%是恶意第三方故意引入的漏洞.
这些数字应该由最近的Risksense报告加以补充,该报告强调开源软件中的缺陷正在不断增长。 IT项目越来越基于开源,这解释了黑客对该领域的兴趣日益浓厚。
漏洞可能会对您的工作造成破坏,并导致大规模的安全问题。 但是,大多数漏洞是由错误引起的,而不是恶意攻击。
通过在可能的情况下依靠开源,您的团队可以从社区发现和修复的所有修补程序中受益。 补救时间是所有DevOps团队的重要组成部分
融资模式 来自开源领域 是最有可能解释为什么软件漏洞的因素之一 在如此重要的时刻,他们没有引起注意。 中央基础设施计划(CII)是为互联网和其他大型信息系统的运行必不可少的,资助和支持免费和开源软件项目的少数项目之一。
GitHub上的大多数项目都基于开源软件。 该分析包括了开源公共存储库,该存储库在10.1.2019年30.09.2020月XNUMX日至XNUMX年XNUMX月XNUMX日之间每月至少有一个贡献。
后者是继数百万个网站使用的OpenSSL严重Heartbleed漏洞之后的公告主题。 问题:CII依靠专有软件领域中知名企业的贡献。 Facebook,VMWare,Microsoft,Comcast和Oracle(仅列出这些公司)为Linux基金会提供资金,因此也开展了诸如Central Infrastructure Initiative(CII)之类的项目。
这使他们在各个决策委员会中都有席位,因此可以控制开源领域中发生的事情。 openSUSE董事会前成员Bryan Lunduke更加详细地讨论了这种情况。
直接后果是 受益于资金的开源项目 是其基础结构主要基于的那些。
最后, 如果您有兴趣了解更多信息,您可以访问以下网站,在其中可以找到收集的报告。