已發(fā)現(xiàn)的開源漏洞數(shù)量急劇飆升,截止到2017年,已有將近3,500個(gè)漏洞。
根據(jù)我們從NVD、安全專家、業(yè)內(nèi)漏洞審核數(shù)據(jù)庫以及流行的開源問題追蹤器收集到的數(shù)據(jù)表明,2017年發(fā)現(xiàn)的開源軟件漏洞數(shù)量比2016年增長了50%以上。而且我們發(fā)現(xiàn)2018年這個(gè)數(shù)字還有繼續(xù)上揚(yáng)的趨勢。
造成這一局面的原因可以歸結(jié)為,隨著開源組件的廣泛采用,軟件開發(fā)社區(qū)開始關(guān)注開源安全;同時(shí)公開數(shù)據(jù)的泄露也讓開發(fā)社區(qū)提高了安全漏洞的意識。
2017年開源軟件漏洞數(shù)量增長了51.2%
在調(diào)查中,我們采訪了來自美國和西歐的650名開發(fā)人員,向他們征詢有關(guān)實(shí)踐以及使用開源時(shí)遇到的問題。
調(diào)查顯示,只有極少數(shù)開發(fā)人員由于公司的政策等問題而沒有采用開源組件。而使用開源的開發(fā)人員則形成了對開源的依賴。
96.8%的開發(fā)人員依賴于開源組件,因此他們受到了最近已知漏洞數(shù)量增加的嚴(yán)重影響。
開源組件的使用頻率
由于大多數(shù)已發(fā)現(xiàn)的開源軟件漏洞皆存在于為數(shù)不多的幾個(gè)項(xiàng)目中——最受歡迎的項(xiàng)目,因此這種風(fēng)險(xiǎn)更加嚴(yán)重。
開源項(xiàng)目越受歡迎,社區(qū)規(guī)模越大,就越會吸引安全研究人員的“眼球”。隨著越來越多貢獻(xiàn)者的關(guān)注,每個(gè)月都會有人發(fā)現(xiàn)并公布更多安全與質(zhì)量的問題。
根據(jù)我們的調(diào)查,7.5%的開源項(xiàng)目都很脆弱。在排名前100的最受歡迎項(xiàng)目中,32%都存在脆弱性。
雖然一個(gè)漏洞就足以讓多個(gè)庫面臨風(fēng)險(xiǎn),但平均每個(gè)易受攻擊的開源項(xiàng)目中包含8個(gè)漏洞。
已知開源漏洞數(shù)量最多的十大開源項(xiàng)目中包含了我們熟悉的項(xiàng)目,也是我們的許多產(chǎn)品所依賴的項(xiàng)目。
這些項(xiàng)目中的大多數(shù)都是面向互聯(lián)網(wǎng)前端的組件,而且有大量暴露在外可被攻擊的方面,因此它們相對容易被利用和吸引大量關(guān)注,這絕非巧合。
另外,有趣的是這些項(xiàng)目中的大多數(shù)背后都有商業(yè)公司的支持。請注意,大量的漏洞報(bào)告通常意味著社區(qū)在積極地維護(hù)該項(xiàng)目,并不代表該項(xiàng)目的安全標(biāo)準(zhǔn)差。
漏洞數(shù)量最多的十大開源項(xiàng)目
在下列最易受攻擊的語言列表中,C/C++遙遙領(lǐng)先,占所有漏洞報(bào)告的41%。JavaScript是最常用的編程語言之一,但它僅占第4位,僅有7%的漏洞。
漏洞數(shù)量最多的七大編程語言
但是,這并不是一件壞事。
安全意識的提高也會促進(jìn)社區(qū)提供建議修復(fù),通常他們會在幾天內(nèi)發(fā)布修復(fù)。
開源社區(qū)為97.4%的漏洞報(bào)告提供了至少一項(xiàng)建議修復(fù)程序。
然而,雖然開源社區(qū)在保護(hù)開源項(xiàng)目方面付出了艱辛的勞動,但用戶無法從他們的努力中充分受益。
問題在于,有關(guān)漏洞的信息并不會在一個(gè)位置集中發(fā)布,這些信息往往分散在數(shù)百個(gè)資源中,而且通常都沒有索引,因此很難搜索。
對于檢測開源組件已知漏洞的開發(fā)人員來說,這將是一項(xiàng)長期的挑戰(zhàn)。
?
在修復(fù)開源漏洞方面開發(fā)人員的效率很低
?
開發(fā)人員花費(fèi)大量時(shí)間來解決開源漏洞,但由于缺乏標(biāo)準(zhǔn)實(shí)踐和以開發(fā)人員為中心的工具,因此他們的效率非常低下。
開發(fā)人員并沒有忽視開源漏洞的增加。我們的調(diào)查清楚地表明,開發(fā)人員已將開源安全漏洞視為使用開源的首要難題。
26%的開發(fā)人員認(rèn)為安全漏洞是開源組件面臨的最大挑戰(zhàn)。開源軟件漏洞的緊急度高于集成、功能、許可和選擇。特別是,一些大型的組織更為關(guān)注開源的安全性。
使用開源組件時(shí)面臨的最大挑戰(zhàn)
我們已經(jīng)在這個(gè)問題上付出了沉重的代價(jià),開發(fā)人員每個(gè)月都要花費(fèi)將近15個(gè)小時(shí)來處理開源漏洞(例如審查、討論、報(bào)告和修補(bǔ))。
每個(gè)月處理開源漏洞的時(shí)間
如果我們讓經(jīng)驗(yàn)豐富的開發(fā)人員負(fù)責(zé)修復(fù)開源漏洞,那么這個(gè)成本會更高。
不同級別的開發(fā)人員處理開源漏洞的時(shí)間
我們的調(diào)查還顯示,在開發(fā)人員每月花費(fèi)在解決開源安全漏洞的15個(gè)小時(shí)中,實(shí)際上只有3.8個(gè)小時(shí)在修復(fù)漏洞。
當(dāng)詢問開發(fā)人員在發(fā)現(xiàn)漏洞后應(yīng)該怎么做時(shí),他們沒有提供明確的答案,這表明他們?nèi)狈?biāo)準(zhǔn)的實(shí)踐方法。
由于在處理新發(fā)現(xiàn)的漏洞時(shí)缺乏固定的方法,所以導(dǎo)致他們在解決開源漏洞時(shí)的效率非常低下。
如果發(fā)現(xiàn)漏洞,你應(yīng)該怎么做?
?
優(yōu)先級策略是管理開源漏洞的關(guān)鍵
?
開源漏洞的優(yōu)先級策略對于確保公司按時(shí)解決最緊迫的問題至關(guān)重要。
考慮到安全團(tuán)隊(duì)每天都會收到警報(bào),安全漏洞的低效補(bǔ)救措施已經(jīng)成為了一個(gè)主要問題。
業(yè)內(nèi)頂級專家一致認(rèn)為,嘗試解決每個(gè)問題是不現(xiàn)實(shí)的,優(yōu)先級劃分才是高效管理開源漏洞的關(guān)鍵。
絕對安全是不可能的。零風(fēng)險(xiǎn)也是不可能的。開發(fā)安全運(yùn)營團(tuán)隊(duì)必須針對持續(xù)的風(fēng)險(xiǎn)建立信得過的評估系統(tǒng),并劃分應(yīng)用程序漏洞的優(yōu)先級。努力去除應(yīng)用程序中所有潛在的漏洞換來的只是徒勞無功,這會降低開發(fā)人員的工作速度,浪費(fèi)時(shí)間去追逐不真實(shí)的問題(誤報(bào)),解決真實(shí)但沒有直接影響的漏洞,以及不會被用到的低風(fēng)險(xiǎn)漏洞。
——成功的開發(fā)安全運(yùn)營團(tuán)隊(duì)需要做好的十件事情, Neil MacDonald Gartner
調(diào)查結(jié)果顯示,開發(fā)人員普遍缺乏標(biāo)準(zhǔn)化的最佳實(shí)踐來確定開源漏洞的優(yōu)先級。
結(jié)果還表明,開發(fā)人員在確立修復(fù)優(yōu)先級時(shí),通常都會參考現(xiàn)成的數(shù)據(jù),例如應(yīng)用程序的重要性或修復(fù)的實(shí)際效果。但是,開發(fā)人員劃分優(yōu)先級時(shí)參考的數(shù)據(jù)不一定是正確的數(shù)據(jù)。
與黑客較量時(shí),時(shí)間至關(guān)重要。特別是對于開源項(xiàng)目而言,因?yàn)樗穆┒磾?shù)據(jù)是公開的。
因此,缺乏確定漏洞優(yōu)先級的實(shí)踐將導(dǎo)致資源使用率的低下,還會讓開發(fā)人員將時(shí)間投入到“錯(cuò)誤”的漏洞上。
開發(fā)人員普遍缺乏劃分開源漏洞優(yōu)先級的標(biāo)準(zhǔn)實(shí)踐
事實(shí)上,開發(fā)人員應(yīng)該根據(jù)漏洞對產(chǎn)品安全性的影響程度,來確定開源漏洞的優(yōu)先級。
易受攻擊的功能不一定會導(dǎo)致項(xiàng)目易受攻擊,因?yàn)樗接写a不一定會調(diào)用易受攻擊的功能。
只有根據(jù)漏洞的有效性確定漏洞是否會構(gòu)成實(shí)際的風(fēng)險(xiǎn),才能為安全和開發(fā)團(tuán)隊(duì)節(jié)省寶貴的時(shí)間。
在測試了2,000個(gè)Java應(yīng)用程序之后,我們發(fā)現(xiàn)這些應(yīng)用程序中檢測到的漏洞中,有72%是無效的。
分析有效漏洞和無效漏洞表明了根據(jù)有效性劃分優(yōu)先級的重要性。數(shù)據(jù)表明,70%的開源漏洞警報(bào)都是無效漏洞。
根據(jù)我們調(diào)查中收集的數(shù)據(jù),這相當(dāng)于為每位開發(fā)人員每月節(jié)省10.5小時(shí)(每月15個(gè)小時(shí)*70%)。
采用優(yōu)先級策略的組織可以更快地修復(fù)關(guān)鍵問題,從而節(jié)省寶貴的開發(fā)時(shí)間并提高產(chǎn)品的安全性。
?
有效使用率分析
?
可靠的開源漏洞修復(fù)優(yōu)先級劃分,可以將安全警報(bào)降低70%-80%。
最近我們推出了一種新技術(shù),可以根據(jù)應(yīng)用程序使用的方式確定開源漏洞的優(yōu)先級——有效使用率分析。
我們對來自12個(gè)組織的25個(gè)商業(yè)應(yīng)用程序進(jìn)行了beta測試,結(jié)果表明:
我們分析的所有項(xiàng)目都至少有一個(gè)開源漏洞。平均而言,每個(gè)項(xiàng)目包含8.2個(gè)易受攻擊的庫。
90%的漏洞(有效和無效)出現(xiàn)在傳遞依賴中,準(zhǔn)確地追蹤開源庫之間的依賴對于安全至關(guān)重要。
84%的開源漏洞警報(bào)都是無效的,對產(chǎn)品的安全性沒有影響。
64%的項(xiàng)目僅包含無效的開源漏洞,因此不需要任何修復(fù)措施。
無效開源漏洞的數(shù)量表明,各個(gè)組織可以收回大部分投入到研究和修復(fù)開源漏洞的時(shí)間和精力。
由于有效使用率分析的技術(shù)可以將資源集中投入到需要即刻修復(fù)的有效漏洞上,因而可以幫助開發(fā)團(tuán)隊(duì)節(jié)省時(shí)間。很多團(tuán)隊(duì)領(lǐng)導(dǎo)和經(jīng)理都證實(shí)了這項(xiàng)新技術(shù):
根據(jù)開源漏洞對項(xiàng)目安全性產(chǎn)生的影響分類,并通過可視化的方式表示出來,這樣就可以輕松地確定開源漏洞的優(yōu)先級。
通過識別專有代碼與開源漏洞中直接或間接調(diào)用的文件和代碼行號,我們可以幫助開發(fā)人員修復(fù)開源漏洞。
除了大幅減少了需要修復(fù)的漏洞外,還幫助開發(fā)人員節(jié)省了10%-20%的修復(fù)時(shí)間。
“這項(xiàng)新技術(shù)的最大優(yōu)點(diǎn)在于,優(yōu)先考慮哪些漏洞需要先修復(fù)。這種易于使用和擴(kuò)展的技術(shù)可以幫助我們更輕松地解決產(chǎn)品中的漏洞。”
——IGT應(yīng)用信息安全高級總監(jiān)
原文:https://www.whitesourcesoftware.com/open-source-vulnerability-management-report/#hero_section
本文為 CSDN 翻譯,轉(zhuǎn)載請注明來源出處。
【END】
Python 成功登上C位,為什么逐漸與 Java 拉開差距?
https://edu.csdn.net/topic/python115?utm_source=csdn_bw
?
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com