警惕!91%的开源代码库存在无人维护的开源代码!
根据Synopsys发布的《2023开源安全和风险分析》报告显示:调研的软件系统中,有76%的软件包含开源软件组件。平均每个代码库由80%的开源代码组成,84%的代码库中包含至少一个已知开源漏洞,比2022年版的OSSRA报告增加了近4%。
另外,报告中也提到,审查的1481个含风险评估的代码库中 ,91%存在过去两年内未进行任何更新的开源代码。(未进行任何更新,即在过去24个月中未开展任何功能升级、代码改进和安全问题修复活动。)可见,开源代码缺乏更新维护,对开源项目安全性影响有多大。
*图源:Synopsys发布的《2023开源安全和风险分析》
据Synopsys报告表示:虽然诸如Kubernetes之类的重要项目仍有良好的维护支持,但也存在很多项目没有或仅由少数几个人进行维护。
Twitter 前开源负责人Will Norris就曾表示:
“在Twitter 从事开源工作的大多数关键人物都已经离开了。和我一起开发开源软件的所有工程师都不在了。随着新的管理层到位,新的业务优先事项出台,曾经备受重视的开源项目开始降级,取而代之的是管理层新确定的重点项目。”
目前,虽然Google等企业已经制定了相关的激励计划,来促进开源项目的稳定维护,但其他绝大多数企业依旧是没有任何激励举措,这也就导致了我们开发人员依赖的大多数基础性开源项目,如今变得无人维护。
而正如Synopsys的调研中所示:76%的软件包含开源软件组件,如今开发人员对开源组件/代码依赖程度之大。作为软件开发人员提升引用开源组件安全性就尤为重要。
想知道你引用的开源组件安全性如何吗?
推荐使用↓↓↓
★网安云组件知识库检索工具
① 一键检索开源组件信息
通过网安云组件知识库检索功能,快速检索组件版本、漏洞等级、所属国家(来源)、所属语言、源码链接等信息。
掌握组件基本信息与漏洞等级,避免开源组件“背刺”。
平台拥有亿级组件知识库、40w+漏洞量、2000+许可数量。同时,平台安全运营人员实时监控几十类漏洞数据来源,包括:mvnrepository, central repository, npm, pypi等。漏洞数据来源权威,数据实时更新,让组件漏洞查询无遗漏。
② 明确漏洞信息,获取修复建议
明确漏洞编号、风险等级等,对组件安全状态清晰了解。
同时,可参考修复意见,获取漏洞编号及补丁获取地址,对漏洞进行修复,减少后续软件被攻破的风险。
③ 获取组件替换方案
根据组件使用建议的风险提醒,重新选择更安全的组件版本。
总的来讲,提升开源组件的安全可控性,最核心的就是把组件这个看不清摸不着的“黑盒子”拆开看。
通过网安云组件知识库检索的功能,把开源组件的安全风险隐患暴露出来。再根据系统提供的安全替换方案以及修复建议,重新做好组件选型或者修复,降低后续软件制品的安全风险。