调查|2017年针对开源代码漏洞的攻击将增长20%

作者:星期二, 一月 24, 20170
分享:

收集开源项目统计数据的黑鸭子软件预测:随着商业应用和本土应用中越来越普遍地使用开源代码,今年针对开源代码漏洞的攻击数量将增加20%。

%e5%9b%be%e7%89%87-1

黑鸭子的安全战略副总裁迈克·皮滕杰表示,商业应用半数以上是免费的,而其中开源软件的比例从2011年底的3%上升到现在的33%

每个商业应用平均使用100个开源模块,2/3的商业应用所用的开源代码存在已知漏洞。

最糟糕的是,消费者几乎不可能知道所购买的软件使用了哪些开源模块。

皮滕杰说:“通常情况下,公司是很保守的。他们为客户提供的模块列表也往往不完整。然而如果你未经开发商许可就检测软件的源代码,你很有可能会违反许可协议,并卷入各种麻烦。”

一些大规模购买某应用的企业可能有渠道要求开发商提供完整的开源模块信息,并通过黑鸭子等第三方软件对其进行检测。

皮滕杰指出,开发者们不可能不使用开源代码。很多开源代码库已经成为了行业规范,而重新编写同样功能的代码会很耗时间,这会延后应用投入市场的时间并伤害公司的竞争力。

全球IT和网络安全专家联盟ISACA的战略引导和研究主任埃德·莫伊尔说,同样的逻辑也适用于企业自行研发的软件。

他说:“开发中的项目可以获得开源社区足够的支持,这带来了可靠的安全性和功能更新。对于特定情况,开源意味着可以对代码库进行审计这一安全优势,以及大量定制软件的能力。有一个好的经验性原则是,如果你需要一个商业工具实现某种功能,你很可能可以找到一个有类似功能的开源工具。”

然而,检查开源代码中的漏洞的“百眼巨人”并不总是醒着。

AlienVault的安全顾问贾瓦德·马利克说:“人人都能对代码进行安全审计,所以人人都以为别人会这么干,最终没一个人有实际行动。这才是出现安全问题的根源。”

因此,对快速增长的开源模块的管理是一个非常棘手的问题,不巧,不怀好意的人们也意识到了这一点。

开源代码是无处不在,所以攻击者可以找到拥有相同漏洞的大量目标。同时,因为对开源代码的追踪困难,且用户经常不安装安全补丁和更新,因此黑客可以用已公开的漏洞利用手段对已知漏洞和展开攻击。

物联网的增长也成为了去年主要的安全问题之一,而专家预测这一问题还将持续发酵。

马利克指出:“智能设备以及整个物联网中大量使用的开源代码,正是Marai僵尸网络的祸根。”

“开发人员通常不检查开源代码是否存在漏洞,即使有所怀疑也往往迫于最后交付时限的压力而仓促使用。所以一方面未经修补的漏洞随处可见,另一方面开发人员即使知道开源代码含有漏洞,却仍在此基础上编写新代码。”

皮滕杰表示,商业应用软件中的漏洞平均存在五年才得以修复。

2014年初,开源SSL库中的心脏出血漏洞被高调公布。但是截止至去年,10%的受检测的应用中还存有该漏洞。

另外,每年都有2000到4000个的新的开源代码中的漏洞被发现。

要解决这一问题需要软件供应商和客户的共同行动,以及企业软件开发人员对安全的重视。但是在所有努力取得成效之前,情况很可能会变得更糟。

 

分享:

相关文章

写一条评论

 

 

0条评论