Linux中國

基於開源軟體漏洞的攻擊今年將上升 20%

隨著開源代碼在商業和家用應用上越來越流行,基於它的漏洞的攻擊也日益增多,據黑鴨子軟體對收集的開源項目的數據統計,其預計今年的攻擊增長 20% 。

黑鴨子軟體安全戰略部的副總經理 Mike Pittenger 介紹說,包含了 50% 以上的自由、開放源軟體的商業軟體項目佔比從 2011 年的 3% 上升到今天的 33%。

他說,平均每個商業應用使用超過 100 個開源組件,而三分之二的商業應用代碼帶有已知漏洞。

更糟糕的是,軟體的買家常常無法知道他們購買的軟體中有哪些開源組件。

相關閱讀: 浪漫開發:如何避免使用開源時易受攻擊感

「一般來說,公司並不樂於提供這些」,他說到。他們為客戶提供的組件列表常常是不完整的。「如果你未經他們同意就掃描二進位碼,你很可能違反了他們的許可協議,給自己帶來很多麻煩」。

一些大公司買家可能有權要求他們完整披露,並由第三方比如黑鴨子軟體進行掃描驗證。

完全避免開源軟體並不是一個好的選擇。很多開源庫是事實上的工業標準,而且從頭開始寫同樣的代碼太耗費時間,延誤了投放市場的時間,損害了公司的競爭力。因此,商業軟體商使用開源代碼的越來越多,這個趨勢在加速,Pittenger 說到。

同樣的邏輯適用於企業自建軟體, ISACA 思維領導與研究部門總監 Ed Moyle 說。ISACA 是 IT 和 網路安全專業人員的一個全球化組織。

「也有很多社區支持活躍的項目,帶來可靠的安全和功能更新」,他補充說。「在特定情況下,如果能夠審計代碼會帶來安全的好處,當然也帶來了高度定製軟體的能力。按照以往經驗,如果一個商業工具能夠做什麼事,很可能就會有開源工具提供同樣的功能。」但是,「多個眼睛」來檢查開源代碼漏洞的方式並不總能有好的效果。

「任何人都可以審計代碼,但也可能每個人都認為有人來審計,結果最終誰都沒有做此事。」 來自 AlienVault 的安全顧問 Javvad Malik 說。「這是一個問題。」

結果,管理開源組件越來越棘手,而那些壞傢伙們也意識到這一點。

開源代碼到處都是,所以攻擊者可以使用同樣的利用方式尋找一大批目標。由於跟蹤開源代碼的困難,使用者常常不打補丁和更新,這樣,黑客可以利用已知漏洞和已公布的缺陷利用例子。

物聯網的興起去年也成為了一個主要的安全問題,今年將繼續是一個主要問題,專家們預測。

「智能設備和物聯網中使用了許多開源軟體,這正是 Mirai 殭屍網路病毒利用的漏洞,」Malik 說。(LCTT 譯註:自 2016 年 9 月黑客操控感染了惡意軟體 Mirai 的物聯網設備發起了 DDoS 攻擊,影響波及很多著名網站,並導致服務中斷,影響頗深頗廣。)

同時,開發者常常不檢查開源代碼漏洞,或者懷疑有問題但由於最後期限的壓力,而直接使用了。所以,不只是未打補丁的漏洞存在著,還有新寫的代碼會集成進去舊的、已知的漏洞,黑鴨子軟體的 Pittenger 說到。

商業軟體項目中的漏洞平均存活時間為 5 年,他說到。

心血漏洞這個漏洞早在 2014 年初就在 OpenSSL 庫中發現,並被廣泛宣傳。但去年,在測試的應用中仍有 10% 存在此漏洞。

此外,每年有 2000 到 4000 個新漏洞被發現,Pittenger 補充說。

要解決這個問題,需要軟體商和顧客的切實行動,以及企業級軟體開發者的安全意識——不過目前看在最終改善前,形勢很可能還要惡化。

歡迎對此提出您的評論。


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國