近日,發布 開發者安全公司 Snyk 和 Linux 基金會的一份新報告,關於他們對開源軟件安全狀況的聯合研究。
在您的帖子中 詳細說明結果對公司而言並不令人鼓舞, PUES 存在各種各樣的重大安全風險 由於現代應用程序開發中廣泛使用開源軟件,以及目前有多少組織沒有做好有效管理這些風險的準備。
具體來說,報告發現:
超過十分之四 (41%) 的組織對其開源軟件的安全性不是很有信心;
平均應用開發項目有49個漏洞和80個直接依賴(項目調用的開源代碼); 是的,
修復開源項目漏洞所需的時間一直在穩步增加,從 49 年的 2018 天增加到 110 年的 2021 天,增加了一倍多。
有人提到 通常是一個項目 應用程序開發 平均有 49 個漏洞和 80 個直接依賴項. 此外,修復開源項目漏洞所需的時間穩步增加,從 49 年的 2018 天增加到 110 年的 2021 天,增加了一倍多。
» 今天的軟件開發人員擁有自己的供應鏈:他們不是組裝汽車零件,而是通過將現有的開源組件與其獨特的代碼相結合來組裝代碼。 如果這能提高生產力和創新,”Snyk 開發人員關係總監 Matt Jarvis 解釋道。 我們計劃與 Linux 基金會一起,在這些發現的基礎上進一步教育和裝備世界各地的開發人員,使他們能夠在保持安全的同時繼續快速構建。”
在其他結果中, 只有 49% 的組織有安全策略 用於自由軟件的開發或使用(而這個數字對於大中型公司只有 27%)。 雖然 30% 沒有自由軟件安全政策的組織公開承認其團隊中沒有人直接處理自由軟件安全問題。
供應鏈複雜性也是一個問題,超過四分之一的受訪者表示他們擔心直接依賴項的安全影響。 只有 18% 的人表示他們對自己處理的控件充滿信心。
到這一點, 強調兩種情況很重要, 首先 其中是 當時開發人員添加了一個組件 在您的應用程序中開源,您立即 變得依賴於該組件 如果該組件包含漏洞,則會面臨風險。
另一個近年來經常看到的是,間接或傳遞依賴也加劇了這種風險,這些依賴是“其他依賴”的依賴,這里許多開發人員甚至不知道這些依賴,這使得它甚至更難追踪和保護。
有了這個,我們可以稍微了解一下,該報告顯示了這種風險的真實性,在每個評估的應用程序的許多直接依賴項中發現了數十個漏洞。 也就是說,在某種程度上,受訪者意識到開源在當今軟件供應鏈中造成的安全複雜性:
超過四分之一的受訪者表示他們擔心其直接依賴項的安全影響;只有 18% 的受訪者表示他們信任對傳遞依賴項的控制; 並且,所有漏洞中有 XNUMX% 是在傳遞依賴項中發現的。
還有一點值得一提的是,如果這些公司或開發者對他們使用的軟件不“安全”,我們中的許多人會想到最合乎邏輯的事情,讓他們“付費”或“支持開發,要么通過分配資源要么開發人員”,但在這一點上,開源軟件的一大爭論就在這裡,如果開源應該“付費”。
因此,有許多開源軟件的示例處理兩個版本,即付費和免費,甚至只有付費,但源代碼是可用的。
另一方面,開發商和大公司也有一些動作,他們決定改變分銷模式或轉向支付模式,例如 QT。
沒有更多 對於那些有興趣了解更多信息的人 關於註釋,您可以在 以下鏈接。