信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”，作者/nana。

過(guò)去兩年來(lái)，存在漏洞的開(kāi)源代碼庫(kù)占比保持不變，但含有高危漏洞的應(yīng)用程序數(shù)量已降至四年最低。

以上數(shù)據(jù)出自Synopsys在2月22日發(fā)布的《2023年開(kāi)源安全與風(fēng)險(xiǎn)分析》（OSSRA）報(bào)告。Synopsys審計(jì)了超過(guò)1700個(gè)應(yīng)用程序，發(fā)現(xiàn)幾乎每個(gè)軟件程序（96%）都含有某種開(kāi)源軟件組件，代碼庫(kù)中開(kāi)源代碼的平均占比為76%。雖然過(guò)去三年里至少含有一個(gè)漏洞的代碼庫(kù)數(shù)量基本維持在略高于80%的水平（2022年為84%），但含有高危漏洞的應(yīng)用程序數(shù)量已從2020年約60%的峰值降至所有被測(cè)應(yīng)用程序的大約一半（48%）。

Synopsys Software Integrity Group高級(jí)軟件解決方案經(jīng)理Mike McGuire表示，總體而言，數(shù)據(jù)顯露出了脆弱依賴項(xiàng)（平均每個(gè)應(yīng)用程序含有595個(gè)）應(yīng)對(duì)工作中的一些亮點(diǎn)，但并無(wú)廣泛趨勢(shì)表明應(yīng)用程序安全整體向好。

“企業(yè)難以跟上開(kāi)源使用的規(guī)模。”McGuire說(shuō)道，“只要想到平均每個(gè)應(yīng)用程序含有近600個(gè)組件，再乘上每年披露的漏洞數(shù)量，你真的可以準(zhǔn)備加班加到生無(wú)可戀了。”

圖：總體開(kāi)源使用率基本保持水平，含漏洞代碼庫(kù)的占比也是如此

開(kāi)源組件和流行應(yīng)用程序框架的眾多依賴項(xiàng)繼續(xù)給軟件制造商和應(yīng)用程序開(kāi)發(fā)人員帶來(lái)各種安全問(wèn)題。某些組件（如Java生態(tài)中的Log4j）幾乎無(wú)處不在的現(xiàn)實(shí)仍在給基于開(kāi)源框架的諸多應(yīng)用程序造成安全問(wèn)題。

過(guò)時(shí)依賴項(xiàng)非常普遍

應(yīng)用程序包含很多組件，這些組件又各有其依賴項(xiàng)，導(dǎo)致依賴樹(shù)層層疊疊，想找出每個(gè)漏洞難上加難。比如說(shuō)，幾乎所有應(yīng)用程序（91%）都至少包含一個(gè)在最近兩年內(nèi)毫無(wú)更新的開(kāi)源組件，這很可能就是項(xiàng)目不再受到維護(hù)的象征，表明存在安全風(fēng)險(xiǎn)。

近八分之一的應(yīng)用程序還有超過(guò)10個(gè)不同版本的特定代碼庫(kù)，每個(gè)版本都可能導(dǎo)入自不同組件及其依賴項(xiàng)。

Synopsys在這份OSSRA報(bào)告中表示，不清除老舊代碼庫(kù)就會(huì)面臨風(fēng)險(xiǎn)。

“開(kāi)源存在于我們今年審查的幾乎所有應(yīng)用程序中，構(gòu)成了各個(gè)行業(yè)的大部分代碼庫(kù)，并且其中包含企業(yè)未能修復(fù)的大量已知漏洞，導(dǎo)致企業(yè)面臨遭到漏洞利用的風(fēng)險(xiǎn)。”報(bào)告中寫(xiě)道，“必須明白，盡管開(kāi)源本身不帶來(lái)任何固有風(fēng)險(xiǎn)，但管理不善就會(huì)造成風(fēng)險(xiǎn)。”

更多依賴項(xiàng)是否意味著更多漏洞尚需進(jìn)一步調(diào)查才能確認(rèn)。例如，軟件安全公司Veracode今年1月發(fā)布的報(bào)告就指出，JavaScript框架的依賴項(xiàng)可能是最多的，但JavaScript應(yīng)用程序卻不像Java和.NET應(yīng)用程序那么容易遭到攻擊。

緊跟開(kāi)源依賴項(xiàng)

OSSRA報(bào)告表明，開(kāi)源代碼對(duì)安全的影響因行業(yè)而異。有些行業(yè)增加了開(kāi)源使用率，而其他行業(yè)則整合了自身產(chǎn)品組合。取決于成熟度水平，開(kāi)源代碼對(duì)安全的影響可能不太一樣。

例如，新冠肺炎疫情期間學(xué)校推動(dòng)在線教學(xué)，教育科技公司便紛紛采用開(kāi)源組件推出新功能和應(yīng)用。教育行業(yè)中，2022年開(kāi)源軟件在代碼庫(kù)中的占比超過(guò)80%，而2018年時(shí)僅占約三分之一。其他行業(yè)也見(jiàn)證了開(kāi)源軟件使用率的顯著上升。例如，航空航天、汽車、運(yùn)輸和物流行業(yè)的開(kāi)源組件使用率也在五年內(nèi)增加了近一倍。

McGuire表示，開(kāi)源采用率的顯著提高導(dǎo)致許多公司不甚了解其軟件的構(gòu)成，也不知道需要修復(fù)哪些組件。

“越來(lái)越多的企業(yè)開(kāi)始增加開(kāi)源組件使用率，但它們并沒(méi)有設(shè)置補(bǔ)丁跟蹤計(jì)劃。”他表示，“只要陷入更新困境，就像其他任何技術(shù)債務(wù)或普通債務(wù)一樣，就很難再回歸正軌了。”

報(bào)告稱，可能是通過(guò)整合減少作為依賴項(xiàng)的項(xiàng)目，其他行業(yè)已經(jīng)降低了自身開(kāi)源軟件使用率?；ヂ?lián)網(wǎng)和軟件基礎(chǔ)設(shè)施行業(yè)，以及電信和無(wú)線部門(mén)，都將自身代碼庫(kù)中的開(kāi)源軟件貢獻(xiàn)度降低到了60%以下。這兩個(gè)行業(yè)的高危漏洞數(shù)量也下降了。

Synopsys《2023年開(kāi)源安全與風(fēng)險(xiǎn)分析》（OSSRA）報(bào)告

https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral