开源让软件更加安全了吗?
极客时间编辑部
讲述:丁婵大小:4.98M时长:05:27
你好,欢迎收听极客视点。
近日,软件和芯片设计公司 Synopsys 发布《2020 年开源安全和风险分析报告》,指出不安全的开源软件已无处不在。3 月,安全和许可证合规性管理解决方案提供商 WhiteSource 发布了一份《2019 年开源组件安全漏洞现状报告》。数据显示,2019 年公开的开源软件漏洞数量激增至 6000 多个,与 2018 年相比增幅达近 50%。
关注和应用的增加带来更多安全问题
WhiteSource 在报告中说明,开源软件漏洞数量的上升可以归因于开放源组件的广泛采用。过去几年开源社区的大量增长,以及媒体对最近一些数据泄露事件的报道,使得人们对开放源代码安全的关注提高。
此外,Synopsys 在 2015 年的审计中发现,开源代码占比仅为 36%,这一比例到 2019 年几乎翻了一番,达到 70%。具体数量上,2019 年每个代码库平均有 445 个开源组件,较 2018 年的 298 个显著增加。
毋庸置疑,开源社区的力量正在壮大,随应用一起扩大的还有风险。Synopsys 的报告显示,49% 的已审计代码库中包含高风险漏洞。
此外,91% 的代码库中包含已经过时超过 4 年,或者过去 2 年内都没有开发迹象的开源组件。除了增加安全风险外,在版本控制中落后太远的危险是,更新到最新版本的简单行为会带来不必要的功能更改,比如关键功能的消失等等。
开源依旧被认为可提高软件安全性
不过,在一些场景中,开源依旧被认为是保障安全的有效方式。开源“圣经”《大教堂与集市》中也提到开源可以保障安全的原因:开源社区的强项是非中心化的同行评审,所有致力于细节不被疏漏的传统方法,都无法和它相比。著名的 Linux 定律认为:只要眼睛多,Bug 容易捉。
此外,开源软件在安全方面的一大优势是提高了代码可见性。这意味着可以检查、分析和审核代码,这项工作可以手动进行,也可借助自动化工作进行。开源的可移植性有助于硬件生态系统和软件生态系统相脱离,大大提高了供应链攻击的难度。
有观点认为,开源软件更方便使用者检查有无后门,这对一些国家级的大型项目来说,能保证高度可控。此外,软件可信性仅和分发途径有关,软件本身的质量与软件厂商关系更大,而开源开发在很多情形下,因为有“同行评审”,所以更加安全。
多份报告建议公司重视管理开源软件
报告显示,开源软件安全问题多被认为是源于管理上的疏漏。
在 Synopsys 发布的《2020 年开源安全和风险分析报告》和 Linux 基金会联合哈佛大学 2 月发布的《开源软件供应链安全报告》等多份报告中,均总结了一些开源软件出现安全问题的原因,具体包括以下 4 点:
1. 开源软件使用者更新不及时。开源社区对软件的更新更快,但是大量使用开源组件的公司没有应用他们需要的补丁,使得业务面临被攻击风险。
2. 开源项目缺乏管理工具。大多数开源项目的开发缺少 SDL(安全开发生命周期)的流程和工具。此外,开源软件之间的关联依赖,也会导致开源软件的漏洞管理非常复杂。
3. 攻击者对开源生态的攻击。比如向开源库中注入恶意代码,向包管理器仓库投放恶意组件等。
4. 开源项目分发不合规。如公共注册中心或开源软件市场没有对进入的开源项目进行代码审核,导致安全问题增多。
如何防患开源软件漏洞
许多问题都指向公司对开源软件缺乏正确的管理。那么,该如何防患开源软件漏洞呢?
具体可以采取以下 3 个措施:
1. 盘点自己的开源项目,做资产梳理。可以使用软件物料清单 BOM,为开源组件提供充分的可见性。也可以引入控制,建立开源软件安全引入和退出机制。
2. 有效识别漏洞并警告。只有小部分开源漏洞会被利用,在开源组建的生命周期内,需要设置漏洞修补优先级。在软件运行阶段,企业需要监控开源软件漏洞情报信息,及时响应。
3. 组建专业团队。成立安全小组,监测外部威胁和脆弱性披露的变化;组织开发和法律团队;创建管理开源活动的策略等等。
以上就是今天的内容,希望对你有所帮助。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论