近日,发布 开发者安全公司 Snyk 和 Linux 基金会的一份新报告,关于他们对开源软件安全状况的联合研究。
在您的帖子中 详细说明结果对公司而言并不令人鼓舞, PUES 存在各种各样的重大安全风险 由于现代应用程序开发中广泛使用开源软件,以及目前有多少组织没有做好有效管理这些风险的准备。
具体来说,报告发现:
超过十分之四 (41%) 的组织对其开源软件的安全性不是很有信心;
平均应用开发项目有49个漏洞和80个直接依赖(项目调用的开源代码); 是的,
修复开源项目漏洞所需的时间一直在稳步增加,从 49 年的 2018 天增加到 110 年的 2021 天,增加了一倍多。
有人提到 通常是一个项目 应用程序开发 平均有 49 个漏洞和 80 个直接依赖项. 此外,修复开源项目漏洞所需的时间稳步增加,从 49 年的 2018 天增加到 110 年的 2021 天,增加了一倍多。
» 今天的软件开发人员拥有自己的供应链:他们不是组装汽车零件,而是通过将现有的开源组件与其独特的代码相结合来组装代码。 如果这能提高生产力和创新,”Snyk 开发人员关系总监 Matt Jarvis 解释道。 我们计划与 Linux 基金会一起,在这些发现的基础上进一步教育和装备世界各地的开发人员,使他们能够在保持安全的同时继续快速构建。”
在其他结果中, 只有 49% 的组织有安全策略 用于自由软件的开发或使用(而这个数字对于大中型公司只有 27%)。 虽然 30% 没有自由软件安全政策的组织公开承认其团队中没有人直接处理自由软件安全问题。
供应链复杂性也是一个问题,超过四分之一的受访者表示他们担心直接依赖项的安全影响。 只有 18% 的人表示他们对自己处理的控件充满信心。
到这一点, 强调两种情况很重要, 首先 其中是 当时开发人员添加了一个组件 在您的应用程序中开源,您立即 变得依赖于该组件 如果该组件包含漏洞,则会面临风险。
另一个近年来经常看到的是,间接或传递依赖也加剧了这种风险,这些依赖是“其他依赖”的依赖,这里许多开发人员甚至不知道这些依赖,这使得它甚至更难追踪和保护。
有了这个,我们可以稍微了解一下,该报告显示了这种风险的真实性,在每个评估的应用程序的许多直接依赖项中发现了数十个漏洞。 也就是说,在某种程度上,受访者意识到开源在当今软件供应链中造成的安全复杂性:
超过四分之一的受访者表示他们担心其直接依赖项的安全影响;只有 18% 的受访者表示他们信任对传递依赖项的控制; 并且,所有漏洞中有 XNUMX% 是在传递依赖项中发现的。
还有一点值得一提的是,如果这些公司或开发者对他们使用的软件不“安全”,我们很多人会想到最合乎逻辑的事情,让他们“付费”或“支持开发,要么通过分配资源要么开发人员”,但在这一点上,开源软件的一大争论就在这里,如果开源应该“付费”。
因此,有很多开源软件的示例处理两个版本,即付费和免费,甚至只有付费,但源代码是可用的。
另一方面,开发商和大公司也有一些动作,他们决定改变分销模式或转向支付模式,例如 QT。
没有更多 对于那些有兴趣了解更多信息的人 关于注释,您可以在 以下链接。