已發(fā)現(xiàn)的開源漏洞數(shù)量急劇飆升，截止到2017年，已有將近3,500個(gè)漏洞。

根據(jù)我們從NVD、安全專家、業(yè)內(nèi)漏洞審核數(shù)據(jù)庫以及流行的開源問題追蹤器收集到的數(shù)據(jù)表明，2017年發(fā)現(xiàn)的開源軟件漏洞數(shù)量比2016年增長了50%以上。而且我們發(fā)現(xiàn)2018年這個(gè)數(shù)字還有繼續(xù)上揚(yáng)的趨勢。

造成這一局面的原因可以歸結(jié)為，隨著開源組件的廣泛采用，軟件開發(fā)社區(qū)開始關(guān)注開源安全；同時(shí)公開數(shù)據(jù)的泄露也讓開發(fā)社區(qū)提高了安全漏洞的意識。

2017年開源軟件漏洞數(shù)量增長了51.2%

在調(diào)查中，我們采訪了來自美國和西歐的650名開發(fā)人員，向他們征詢有關(guān)實(shí)踐以及使用開源時(shí)遇到的問題。

調(diào)查顯示，只有極少數(shù)開發(fā)人員由于公司的政策等問題而沒有采用開源組件。而使用開源的開發(fā)人員則形成了對開源的依賴。

96.8%的開發(fā)人員依賴于開源組件，因此他們受到了最近已知漏洞數(shù)量增加的嚴(yán)重影響。

開源組件的使用頻率

由于大多數(shù)已發(fā)現(xiàn)的開源軟件漏洞皆存在于為數(shù)不多的幾個(gè)項(xiàng)目中——最受歡迎的項(xiàng)目，因此這種風(fēng)險(xiǎn)更加嚴(yán)重。

開源項(xiàng)目越受歡迎，社區(qū)規(guī)模越大，就越會吸引安全研究人員的“眼球”。隨著越來越多貢獻(xiàn)者的關(guān)注，每個(gè)月都會有人發(fā)現(xiàn)并公布更多安全與質(zhì)量的問題。

根據(jù)我們的調(diào)查，7.5%的開源項(xiàng)目都很脆弱。在排名前100的最受歡迎項(xiàng)目中，32%都存在脆弱性。

雖然一個(gè)漏洞就足以讓多個(gè)庫面臨風(fēng)險(xiǎn)，但平均每個(gè)易受攻擊的開源項(xiàng)目中包含8個(gè)漏洞。

已知開源漏洞數(shù)量最多的十大開源項(xiàng)目中包含了我們熟悉的項(xiàng)目，也是我們的許多產(chǎn)品所依賴的項(xiàng)目。

這些項(xiàng)目中的大多數(shù)都是面向互聯(lián)網(wǎng)前端的組件，而且有大量暴露在外可被攻擊的方面，因此它們相對容易被利用和吸引大量關(guān)注，這絕非巧合。

另外，有趣的是這些項(xiàng)目中的大多數(shù)背后都有商業(yè)公司的支持。請注意，大量的漏洞報(bào)告通常意味著社區(qū)在積極地維護(hù)該項(xiàng)目，并不代表該項(xiàng)目的安全標(biāo)準(zhǔn)差。

漏洞數(shù)量最多的十大開源項(xiàng)目

在下列最易受攻擊的語言列表中，C/C++遙遙領(lǐng)先，占所有漏洞報(bào)告的41%。JavaScript是最常用的編程語言之一，但它僅占第4位，僅有7%的漏洞。

漏洞數(shù)量最多的七大編程語言

但是，這并不是一件壞事。

安全意識的提高也會促進(jìn)社區(qū)提供建議修復(fù)，通常他們會在幾天內(nèi)發(fā)布修復(fù)。

開源社區(qū)為97.4%的漏洞報(bào)告提供了至少一項(xiàng)建議修復(fù)程序。

然而，雖然開源社區(qū)在保護(hù)開源項(xiàng)目方面付出了艱辛的勞動，但用戶無法從他們的努力中充分受益。

問題在于，有關(guān)漏洞的信息并不會在一個(gè)位置集中發(fā)布，這些信息往往分散在數(shù)百個(gè)資源中，而且通常都沒有索引，因此很難搜索。

對于檢測開源組件已知漏洞的開發(fā)人員來說，這將是一項(xiàng)長期的挑戰(zhàn)。

?

在修復(fù)開源漏洞方面開發(fā)人員的效率很低

?

開發(fā)人員花費(fèi)大量時(shí)間來解決開源漏洞，但由于缺乏標(biāo)準(zhǔn)實(shí)踐和以開發(fā)人員為中心的工具，因此他們的效率非常低下。

開發(fā)人員并沒有忽視開源漏洞的增加。我們的調(diào)查清楚地表明，開發(fā)人員已將開源安全漏洞視為使用開源的首要難題。

26%的開發(fā)人員認(rèn)為安全漏洞是開源組件面臨的最大挑戰(zhàn)。開源軟件漏洞的緊急度高于集成、功能、許可和選擇。特別是，一些大型的組織更為關(guān)注開源的安全性。

使用開源組件時(shí)面臨的最大挑戰(zhàn)

我們已經(jīng)在這個(gè)問題上付出了沉重的代價(jià)，開發(fā)人員每個(gè)月都要花費(fèi)將近15個(gè)小時(shí)來處理開源漏洞（例如審查、討論、報(bào)告和修補(bǔ)）。

每個(gè)月處理開源漏洞的時(shí)間

如果我們讓經(jīng)驗(yàn)豐富的開發(fā)人員負(fù)責(zé)修復(fù)開源漏洞，那么這個(gè)成本會更高。

不同級別的開發(fā)人員處理開源漏洞的時(shí)間

我們的調(diào)查還顯示，在開發(fā)人員每月花費(fèi)在解決開源安全漏洞的15個(gè)小時(shí)中，實(shí)際上只有3.8個(gè)小時(shí)在修復(fù)漏洞。

當(dāng)詢問開發(fā)人員在發(fā)現(xiàn)漏洞后應(yīng)該怎么做時(shí)，他們沒有提供明確的答案，這表明他們?nèi)狈?biāo)準(zhǔn)的實(shí)踐方法。

由于在處理新發(fā)現(xiàn)的漏洞時(shí)缺乏固定的方法，所以導(dǎo)致他們在解決開源漏洞時(shí)的效率非常低下。

如果發(fā)現(xiàn)漏洞，你應(yīng)該怎么做？

?

優(yōu)先級策略是管理開源漏洞的關(guān)鍵

?

開源漏洞的優(yōu)先級策略對于確保公司按時(shí)解決最緊迫的問題至關(guān)重要。

考慮到安全團(tuán)隊(duì)每天都會收到警報(bào)，安全漏洞的低效補(bǔ)救措施已經(jīng)成為了一個(gè)主要問題。

業(yè)內(nèi)頂級專家一致認(rèn)為，嘗試解決每個(gè)問題是不現(xiàn)實(shí)的，優(yōu)先級劃分才是高效管理開源漏洞的關(guān)鍵。

絕對安全是不可能的。零風(fēng)險(xiǎn)也是不可能的。開發(fā)安全運(yùn)營團(tuán)隊(duì)必須針對持續(xù)的風(fēng)險(xiǎn)建立信得過的評估系統(tǒng)，并劃分應(yīng)用程序漏洞的優(yōu)先級。努力去除應(yīng)用程序中所有潛在的漏洞換來的只是徒勞無功，這會降低開發(fā)人員的工作速度，浪費(fèi)時(shí)間去追逐不真實(shí)的問題（誤報(bào)），解決真實(shí)但沒有直接影響的漏洞，以及不會被用到的低風(fēng)險(xiǎn)漏洞。

——成功的開發(fā)安全運(yùn)營團(tuán)隊(duì)需要做好的十件事情， Neil MacDonald Gartner

調(diào)查結(jié)果顯示，開發(fā)人員普遍缺乏標(biāo)準(zhǔn)化的最佳實(shí)踐來確定開源漏洞的優(yōu)先級。

結(jié)果還表明，開發(fā)人員在確立修復(fù)優(yōu)先級時(shí)，通常都會參考現(xiàn)成的數(shù)據(jù)，例如應(yīng)用程序的重要性或修復(fù)的實(shí)際效果。但是，開發(fā)人員劃分優(yōu)先級時(shí)參考的數(shù)據(jù)不一定是正確的數(shù)據(jù)。

與黑客較量時(shí)，時(shí)間至關(guān)重要。特別是對于開源項(xiàng)目而言，因?yàn)樗穆┒磾?shù)據(jù)是公開的。

因此，缺乏確定漏洞優(yōu)先級的實(shí)踐將導(dǎo)致資源使用率的低下，還會讓開發(fā)人員將時(shí)間投入到“錯(cuò)誤”的漏洞上。

開發(fā)人員普遍缺乏劃分開源漏洞優(yōu)先級的標(biāo)準(zhǔn)實(shí)踐

事實(shí)上，開發(fā)人員應(yīng)該根據(jù)漏洞對產(chǎn)品安全性的影響程度，來確定開源漏洞的優(yōu)先級。

易受攻擊的功能不一定會導(dǎo)致項(xiàng)目易受攻擊，因?yàn)樗接写a不一定會調(diào)用易受攻擊的功能。

只有根據(jù)漏洞的有效性確定漏洞是否會構(gòu)成實(shí)際的風(fēng)險(xiǎn)，才能為安全和開發(fā)團(tuán)隊(duì)節(jié)省寶貴的時(shí)間。

在測試了2,000個(gè)Java應(yīng)用程序之后，我們發(fā)現(xiàn)這些應(yīng)用程序中檢測到的漏洞中，有72%是無效的。

分析有效漏洞和無效漏洞表明了根據(jù)有效性劃分優(yōu)先級的重要性。數(shù)據(jù)表明，70%的開源漏洞警報(bào)都是無效漏洞。

根據(jù)我們調(diào)查中收集的數(shù)據(jù)，這相當(dāng)于為每位開發(fā)人員每月節(jié)省10.5小時(shí)（每月15個(gè)小時(shí)*70%）。

采用優(yōu)先級策略的組織可以更快地修復(fù)關(guān)鍵問題，從而節(jié)省寶貴的開發(fā)時(shí)間并提高產(chǎn)品的安全性。

?

有效使用率分析

?

可靠的開源漏洞修復(fù)優(yōu)先級劃分，可以將安全警報(bào)降低70%-80%。

最近我們推出了一種新技術(shù)，可以根據(jù)應(yīng)用程序使用的方式確定開源漏洞的優(yōu)先級——有效使用率分析。

我們對來自12個(gè)組織的25個(gè)商業(yè)應(yīng)用程序進(jìn)行了beta測試，結(jié)果表明：

我們分析的所有項(xiàng)目都至少有一個(gè)開源漏洞。平均而言，每個(gè)項(xiàng)目包含8.2個(gè)易受攻擊的庫。

90%的漏洞（有效和無效）出現(xiàn)在傳遞依賴中，準(zhǔn)確地追蹤開源庫之間的依賴對于安全至關(guān)重要。

84%的開源漏洞警報(bào)都是無效的，對產(chǎn)品的安全性沒有影響。

64%的項(xiàng)目僅包含無效的開源漏洞，因此不需要任何修復(fù)措施。

無效開源漏洞的數(shù)量表明，各個(gè)組織可以收回大部分投入到研究和修復(fù)開源漏洞的時(shí)間和精力。

由于有效使用率分析的技術(shù)可以將資源集中投入到需要即刻修復(fù)的有效漏洞上，因而可以幫助開發(fā)團(tuán)隊(duì)節(jié)省時(shí)間。很多團(tuán)隊(duì)領(lǐng)導(dǎo)和經(jīng)理都證實(shí)了這項(xiàng)新技術(shù)：

“這項(xiàng)新技術(shù)的最大優(yōu)點(diǎn)在于，優(yōu)先考慮哪些漏洞需要先修復(fù)。這種易于使用和擴(kuò)展的技術(shù)可以幫助我們更輕松地解決產(chǎn)品中的漏洞。”

——IGT應(yīng)用信息安全高級總監(jiān)

原文：https://www.whitesourcesoftware.com/open-source-vulnerability-management-report/#hero_section

本文為 CSDN 翻譯，轉(zhuǎn)載請注明來源出處。

【END】

Python 成功登上C位,為什么逐漸與 Java 拉開差距？

https://edu.csdn.net/topic/python115?utm_source=csdn_bw

?

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com