帶有已知安全漏洞的開源組件仍被廣泛使用

提供 Maven 中央倉庫託管服務的 Sonatype 公司說， Java 組件下載中，有 1/16 的下載組件中包含了已知的安全問題。

Sonatype 聲稱，開發者們每年要下載超過 310 億個/次 Java 組件，每天也會新增超過 1 千個新組件以及超過 1 萬個的組件新版本。

現在企業都採用託管式的中央組件倉庫來存儲他們的代碼。這些代碼中有一些來自私有項目，而更多的則來自於開源代碼，在多數情況下，他們只是下載開源代碼並導入到其項目中，而不做必要的安全審計。

Sonatype 發現現在企業中的百分之八、九十的代碼都是由開源組件構成的，它們直接來自公開的代碼導入。

由於這些安全缺陷都是公開的，而且 Sonatype 能夠訪問到其託管服務的伺服器統計數據，相比其他人來說他們得到的數據會更多，因此他們警告開發者們要注意在他們的代碼中使用不安全的或過期的組件所帶來的風險。

這個警告對於公司來說更加嚴重，因為如果攻擊者對採用有缺陷的組件創建的應用進行攻擊，結果就可能導致更多的經濟損失。

更老的組件的缺陷率高達三倍

在分析了來自幾個不同行業的三千家機構的兩萬五千個以上的企業應用之後，Sonatype 發現平均每年每個企業都會下載大約五千個不同的組件。

組件越老，就越有可能包含安全缺陷。甚至更糟糕的是， 其中 97% 的下載的組件不能很方便的跟蹤和審計。而如果公司僅僅是要修復兩千個應用中的 10% 的安全漏洞，就大約需要 742 萬美金的巨額投入。

這些問題說明企業需要對軟體供應鏈進行管理，以避免將來出現的缺陷問題。花費在組件安全審計上的時間，將在該項目的以後出現安全漏洞後得到回報。

從這種託管的中央代碼倉庫中移除有缺陷的組件也應該成為這些項目背後的社區的最高優先順序的工作。

軟體供應鏈報告中包含了當今軟體供應鏈的更多信息。


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive