作者
:新思科技高階內容策略師
fred bals
開源是軟體設計各個開發階段越來越受歡迎的選擇。這是有道理的。開源具有諸多優勢,例如靈活性、成本效益和共享維護成本。但是,我們需要加強開源漏洞監控,並針對許可問題進行研究。
新思科技的黑鴨審計服務團隊每年為其客戶進行數千個**庫的開源審計。這些審計需求主要來自合併和收購交易,並最終成為我們年度《開源安全和風險分析》(ossra)報告的匿名資料的關鍵**。
近期發布的2023年ossra報告審查了1,200多個商業**庫的資料結果,這些**庫用於希望評估其開源許可證合規性和安全風險的企業和組織。
審計發現,2023年掃瞄的**庫中有超過96%的**庫是開源的,超過99%的**庫包含超過1,000個由開源元件構成的檔案。開源**與**庫中**總數的比例在2023年為60%,高於2023年的57%。這些數字反映了經審計的**庫通常來自業務是構建軟體的公司。這些公司的價值通常體現在其擁有的專有**,它們**庫中開源**與專有**的比例往往較低。
相比之下,
forrester
和gartner
等分析師指出,超過
90%的
it企業在任務關鍵型的工作中使用開源軟體,而且開源佔據了
90%的新**庫。根據
2023年紅帽(red hat)「企業開源狀態」報告
,超過69
%的受訪企業認為他們使用開源至少「非常重要」(
40%非常重要,
29%極其重要)。
無論您參考哪組資料,很明顯開源元件和庫是每個行業中幾乎所有應用程式的支柱。大多數企業擁有數千種不同的軟體,從移動應用程式到基於雲的系統,再到本地執行的遺留系統。該軟體通常是商業現成軟體包、開源軟體和定製**庫的混合體。漏洞影響所有軟體。
然而,很少有公司能夠充分追蹤他們在**中使用的開源元件,並且沒有採用開發人員使用開源所做出的選擇所需的策略、流程和工具。因此,開源帶來的所有好處也可能帶來各種風險。
風險問題來自未修補的軟體,不是使用開源
正如紅帽報告指出的那樣,安全被認為是阻礙一些企業允許開源使用的主要障礙。有趣的是,同乙份報告將安全性視為it決策者在使用開源時所看到的最大好處之一。這種看似矛盾反映了兩種現狀:人們擔心非託管開源**可能會在開源和專有解決方案中引入漏洞;人們意識到正確管理開源
- 包括使用可信**和自動化工具來發現和修復安全問題
- 可以大大減少開源風險的潛力。
所有軟體,無論是專有軟體還是開源軟體,都存在可能存在漏洞。企業需要識別和修補這些漏洞。開源社群在發布補丁方面做出了示範性的工作,通常比專有軟體快得多。
但無論是專有軟體還是開源軟體,相當大數量的企業都沒有及時應用補丁,而暴露在風險之中。不修補的原因是多種多樣的:有些企業被無休止的可用補丁所淹沒,無法確定需要修補的優先順序;有的缺乏應用補丁的資源;有的需要平衡風險與財務成本之間的關係。
未修補的軟體漏洞是企業面臨的最大的網路威脅之一,軟體中未修補的開源元件增加了安全風險。 2023年
ossra
報告指出,
2018
年審計的**庫中有
60%至少存在某種開源漏洞。
新思科技在
2018
年為其黑鴨
knowledgebase™
知識庫增加了
7,393
個開源漏洞。過去二十年,該知識庫已經報告了超過
50,000
個開源漏洞。
有什麼風險?
開源的某些特性使流行元件中的漏洞很容易受到攻擊。商業軟體的發布者可以自動向使用者推送修復,補丁和更新。但與商業軟體不同,您需要負責追蹤使用的開源的漏洞和修復程式。
無處不在的開源為攻擊者提供了乙個有利的環境,因為漏洞是通過國家漏洞資料庫(nvd)、郵件列表、github問題和專案主頁等**披露的。如前所述,許多企業沒有保留其應用程式中使用的開源元件的準確、全面和最新的清單。例如,美國參議院常設調查小組委員會的乙份工作人員報告指出,equifax缺乏完整的軟體庫存是導致其2023年大規模資料洩露的乙個因素。
正確管理開源軟體不僅僅是關乎安全性
現在有數千個開源許可證,如果不遵守這些許可證,可能會使企業面臨訴訟風險和損害智財權風險。無論是使用開源計畫認可的流行許可證還是其它許可證,企業只有在確定由這些許可證管理的開源元件後才能管理和遵守許可證要求。 2023年ossra報告中詳述的經過審計的**庫中有32%包含可能導致衝突或需要進行法律審查的自定義許可證。 68%的**庫包含許可證衝突的元件。
除了安全和許可風險之外,操作風險是開源使用不太嚴重但仍然不可忽視的後果。今天使用的許多開源元件都被放棄了。換句話說,他們沒有開發人員社群貢獻、修補或改進它們。如果元件處於非活動狀態且沒有人維護它,則意味著沒有人正在解決其潛在的漏洞。 2023年
ossra
報告指出,
85%的被審計**庫包含超過四年沒有更新或在過去兩年沒有開發活動的元件。
使用開源並不是在冒險,但是開源的非託管使用卻有風險
開源為使用它的組織提供了許多好處 - 但只有在正確管理開源以識別任何安全和法律合規性問題時。為了防範開源安全和合規風險,企業應該:
建立和執行開源風險政策和流程。只有少數開源漏洞必須讓開發人員了解管理使用開源的必要性。企業實施自動化流程、追蹤**庫中的開源元件及其已知的安全漏洞、以及版本控制和重複等操作風險,並根據問題的嚴重性確定問題的優先順序。- 例如
影響apache struts
或openssl
的漏洞-
可能會被廣泛利用。考慮到這一點,企業應將其開源漏洞管理和緩解工作的重點放在
cvss
(通用漏洞評分系統)評分和漏洞利用的可用性上,不僅僅是漏洞披露的「零天攻擊」,而是貫穿開源元件生命週期。
執行其開源軟體的完整清單。在**庫中使用完整、準確、及時的開源清單至關重要。清單應涵蓋兩個方面:源**;如何在生產中部署或用作應用程式中的庫的任何商業軟體或二進位制檔案中使用開源的資訊。
了解開源的已知漏洞。國家漏洞資料庫(national vulnerability database)
等公共資源是公開披露開源元件漏洞資訊的可靠平台。但是,不要僅僅依靠
nvd來獲取漏洞資訊。還需要檢視其它資料。這些資料提供影響**庫的漏洞的早期通知,理想情況下,還會提供安全性洞察、技術詳細資訊以及公升級和修補程式指南。
監控新的安全威脅。當應用程式完成開發時,追蹤漏洞的工作還未結束。只要應用程式仍在使用中,企業就需要持續監控新威脅。識別許可風險。不遵守開源許可證可能會導致企業面臨訴訟和危害智財權的重大風險。教育開發人員了解開源許可證及其義務。讓法律顧問也參與教育過程,當然他們還有審查許可證和遵守法律義務。確保審查開源是併購盡職調查一部分。如果您正在進行收購,請了解目標公司正在使用的開源,它可能沒有適當地管理好這些開源。不要猶豫,詢問有關其開源使用和管理的問題。如果軟體資產是公司估值的重要組成部分,請讓第三方來審核開源**。最重要的是,如果企業不知道自己正在使用什麼軟體,那就無法提供修補方案。如果您無法充滿信心地說在內部和外部應用程式中使用的開源元件是最更新的,應用了所有關鍵補丁,那麼就該重新評估現有的開源管理策略和流程了。
新思科技最新報告顯示開源安全是首要考慮因素
新思科技 2020 年devsecops 實踐和開源管理報告 發布,40 受訪者表示為解決開源漏洞而拖慢了交付計畫 devsecops是在業界逐步普及的理念。從雲計算到雲原生,再到devops,每一次理念的轉變都可能意味著開發流程的迭代。而安全是重要的基石,無論如何變革,都不容忽視。在不影響安全的情...
小五思科技術學習筆記之標準訪問控制列表
由於暑假的工作一直是與 相關,也沒時間接觸網路裝置這方面的東西。所以,小五思科技術學習筆記這個系列的文章暫停了很長時間。現在一切都恢復正常了,繼續和大家分享一些思科技術學習筆記。今天和大家分享一下標準訪問控制列表,這個實驗也是比較簡單的。當然,有標準就得有擴充套件,擴充套件訪問列表我將在後面做到。這...
新思科技指導如何在遠端辦公環境中進行合規審計培訓
但是即使在形勢不明朗的時期,保持敏銳以及對安全知識 計畫和響應的追蹤仍是企業的責任。企業的安全團隊必須以新的方式為這些審計做準備。現在許多都進行遠端管理,團隊必須意識到潛在的缺陷和風險。某些審計活動可能會疏忽了一些漏洞風險,在報告中予以通過 但是對於企業的安全性而言,風險不會因為報告通過而消失。因為...