基於開源軟體漏洞的攻擊今年將上升 20%

隨著開源代碼在商業和家用應用上越來越流行，基於它的漏洞的攻擊也日益增多，據黑鴨子軟體對收集的開源項目的數據統計，其預計今年的攻擊增長 20% 。

黑鴨子軟體安全戰略部的副總經理 Mike Pittenger 介紹說，包含了 50% 以上的自由、開放源軟體的商業軟體項目佔比從 2011 年的 3% 上升到今天的 33%。

他說，平均每個商業應用使用超過 100 個開源組件，而三分之二的商業應用代碼帶有已知漏洞。

更糟糕的是，軟體的買家常常無法知道他們購買的軟體中有哪些開源組件。

相關閱讀： 浪漫開發：如何避免使用開源時易受攻擊感

「一般來說，公司並不樂於提供這些」，他說到。他們為客戶提供的組件列表常常是不完整的。「如果你未經他們同意就掃描二進位碼，你很可能違反了他們的許可協議，給自己帶來很多麻煩」。

一些大公司買家可能有權要求他們完整披露，並由第三方比如黑鴨子軟體進行掃描驗證。

完全避免開源軟體並不是一個好的選擇。很多開源庫是事實上的工業標準，而且從頭開始寫同樣的代碼太耗費時間，延誤了投放市場的時間，損害了公司的競爭力。因此，商業軟體商使用開源代碼的越來越多，這個趨勢在加速，Pittenger　說到。

同樣的邏輯適用於企業自建軟體， ISACA 思維領導與研究部門總監 Ed Moyle 說。ISACA 是 IT 和 網路安全專業人員的一個全球化組織。

「也有很多社區支持活躍的項目，帶來可靠的安全和功能更新」，他補充說。「在特定情況下，如果能夠審計代碼會帶來安全的好處，當然也帶來了高度定製軟體的能力。按照以往經驗，如果一個商業工具能夠做什麼事，很可能就會有開源工具提供同樣的功能。」但是，「多個眼睛」來檢查開源代碼漏洞的方式並不總能有好的效果。

「任何人都可以審計代碼，但也可能每個人都認為有人來審計，結果最終誰都沒有做此事。」　來自 AlienVault 的安全顧問　Javvad Malik　說。「這是一個問題。」

結果，管理開源組件越來越棘手，而那些壞傢伙們也意識到這一點。

開源代碼到處都是，所以攻擊者可以使用同樣的利用方式尋找一大批目標。由於跟蹤開源代碼的困難，使用者常常不打補丁和更新，這樣，黑客可以利用已知漏洞和已公布的缺陷利用例子。

物聯網的興起去年也成為了一個主要的安全問題，今年將繼續是一個主要問題，專家們預測。

「智能設備和物聯網中使用了許多開源軟體，這正是 Mirai 殭屍網路病毒利用的漏洞，」Malik 說。（LCTT 譯註：自 2016 年 9 月黑客操控感染了惡意軟體 Mirai 的物聯網設備發起了 DDoS 攻擊，影響波及很多著名網站，並導致服務中斷，影響頗深頗廣。）

同時，開發者常常不檢查開源代碼漏洞，或者懷疑有問題但由於最後期限的壓力，而直接使用了。所以，不只是未打補丁的漏洞存在著，還有新寫的代碼會集成進去舊的、已知的漏洞，黑鴨子軟體的 Pittenger 說到。

商業軟體項目中的漏洞平均存活時間為 5 年，他說到。

心血漏洞這個漏洞早在 2014 年初就在 OpenSSL 庫中發現，並被廣泛宣傳。但去年，在測試的應用中仍有 10% 存在此漏洞。

此外，每年有 2000 到 4000 個新漏洞被發現，Pittenger 補充說。

要解決這個問題，需要軟體商和顧客的切實行動，以及企業級軟體開發者的安全意識——不過目前看在最終改善前，形勢很可能還要惡化。

歡迎對此提出您的評論。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive