企业使用开源软件的风险防控与建议

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2023-10-13
近几年来,由于开源技术的开放共享、易于获得、迭代质量高等特性,开源软件应用受到了各界的广泛青睐与追捧,成为软件开发与应用的主流趋势。开源软件在给全世界的开发者和用户带来便利的同时,也带来了包括技术风险、法律风险在内的诸多挑战。2023年软件供应链攻击的次数是2019-2022年总和的两倍。Sonatype在2023 年记录了245,032个恶意软件包。其实,每八次开源下载中就存在一次已知且可避免的风险。



漏洞仍然可以预防

据统计,2023年其实可以避免21亿次有已知漏洞的OSS下载。据Sonatype分析四个主要生态系统的1176407个开源项目得出,只有11%的开源项目得到了积极维护,惯于使用未经安全验证的开源项目是造成软件开发风险的根本原因。
 
Sonatype CTO Brian Fox表示,维护员们工作都很尽责,企业也都尽可能地招聘人才来维护他们的重要资源库,几乎所有具有已知漏洞组件的下载都已得到修复。行业需要朝着正确的方向努力,业界及生态社区应该提供更优质的基础条件,帮助开发者能够使用到安全的开源软件。

企业的自我认知与现实存在脱节
 
在软件供应链攻击不断增加下的情况下,企业开发软件所感知到的安全性与现实之间持续存在脱节。一些企业认为他们的软件供应链仍在掌控之下,67%的受访者相信他们的应用程序不依赖已知的易受攻击的库。但有近10%的受访者称,他们的企业在过去12个月以来因使用开源软件而出现安全漏洞。
 
大多数企业都缺乏及时发现并处置漏洞的能力。报告发现,39%的企业在一到七天内发现漏洞;29%的企业这需要一周以上的时间,28%的企业可以将时间缩短到一天之内;除此之外,36.2%的受访者需要一周以上的时间来修复漏洞。

开发人员对推动行业进步发挥关键作用
 
在重要软件安全方面,持续维护开源项目将会优于同行。相比维护较少的库,持续维护的项目往往更有优势:比SAST高出5.9倍;签名版本的性能提高5.4倍;依赖关系更新工具的性能提高5.1倍;代码审查速度提高3.6倍;分支机构保护能力提高3.8倍。
 
优化制度管理可节省时间、资金并降低安全风险。与优化升级相结合,减少25%误报,可在解决组件升级和高风险漏洞方面节省两倍的时间。

提高效率和安全态势
 
随着软件供应链的漏洞不断增多,开发人员正在采取措施提高效率和安全态势。在不到一年的时间里,软件开发中AI/ML组件的使用明显激增,因为该技术可以帮助软件开发人员大幅提升效率,同时AI/ML组件可以快速集成到软件开发工作流程中。
 
  负责产品创新的副总裁Stephen MaGill表示:“AI/ML工具成千上万,选择合适的工具真的很难,而选择这些工具的重担落在了数据科学家身上。”他同时表示,AI/ML也带来了大量新的安全许可问题,更不用说实施付费服务的巨额成本了。由于LLM模型大部分是开源的,所以与开源相关的所有安全顾虑也将对AI产生影响。