越来越多的开源库正在被创建,这些开源库的传播越来越快,而且分布在越来越小的部分中。
开源代码正在呈爆炸式增长,Veracode欧洲、中东及非洲(EMEA)和泛太平洋亚洲及日本(APJ)主管Paul Farrington写道。
每一个企业都在使用开源组件来构建自己的软件产品和服务。当一个软件以开源软件的形式发布时,意味着原作者愿意将源代码免费提供给技术社区进行学习和改进。
这是因为在这些项目上的大量合作,能够带来一些技术上的巨大进步。同时,开源能够使一些无法承担授权费的个人,更容易使用这些软件。
使用开源代码加快了开发周期,并减少了相关成本。但是这一优势也带来了一些风险——开源代码无法得到像内部开发的软件一样严格的审查。当识别出一个漏洞时,在所有应用程序中精确定位具有风险的组件将会非常困难,并且成本很高。
开源影响软件供应链
现在存在500万个开源库,但是其增长速度是呈指数级的——我们将会看到在未来十年里,数百万开发人员将发布多达5亿的开源库。这一趋势给那些在其应用中使用开源代码的企业增加了威胁,因为开源在提高效率的同时,开发人员使用的组件也继承了原来的漏洞。
仅确保自己的开发人员了解如何进行安全开发和源码扫描是不够的 。这将会给你的安全工作带来一个巨大的漏洞。
你还需要考虑到开发人员在其代码中使用的开源库。例如,现在很多应用程序的安全环境是围绕公共漏洞披露(CVEs)构建的。但是公共漏洞内容创建在DevOps出现之前,也在开源代码呈爆炸式增长之前。现在,等待一个漏洞出现在公共列表中是完全不可行的。
好消息是,使用有漏洞的库并不一定会使你受到攻击。明确开源软件是否含有漏洞不是最重要的,关键在于其中的漏洞是否容易被利用。确定优先级是确保开源安全的关键。
很多情况下,开发人员使用开源库时,只会使用一小部分——一个方法或者功能。所以即使这个开源库被标记为易受攻击,你的数据中可能没有使用易受攻击的部分,或者你使用的方法或者功能不易受到攻击。
那些能够有效管理软件供应链的组织机构,拥有其他企业没有的竞争优势。一个管理良好的软件供应链——能够通过定期扫描,并根据组件风险等级确定修复的优先级,保持其供应链的安全性,从而保证组织机构的安全。
开源安全趋势
易受攻击的开源组件在很多软件中泛滥。此外,Veracode研究发现,一旦企业发现漏洞,开源软件是修复速度最慢的对象之一——平均需要企业花费93天来修复前25%的开源漏洞。而这只是为什么开源安全会成为一个突出问题的快照。
同时,黑客的观念也在发生变化。开源数量的激增,改变了攻击者网络犯罪经济学。他们可以发动一次能够造成很多攻击的行动,而不是去攻击每一个应用。所以不仅有越来越多的开源库,正在成为网络犯罪的目标,攻击者已经开始创建恶意开源代码,而组织机构不知不觉间将这些代码纳入其代码库中。勒索软件是其中比较常见的威胁之一。
云使用的增加,也从根本上改变了我们对安全的思考方式。随着云应用和漏洞扫描需求的增加,企业需要快速发展。商业创新速度的加快,加剧了这一需求。没有一定的云规模,几乎不可能跟上数字经济的发展。
我们也看到重点开始转移到了自动化和持续交付,通过这些方法能够使企业将安全整合到开发人员的工作流程中。尽管现在有OWASP(开放式Web应用程序安全项目),PCI(外设组件互连标准),CISQ(软件质量标准化联盟),NIST(美国国家标准与技术研究院)和FS-ISAC(美国金融服务信息共享和分析中心)等行业基准,要求有明确的策略和控制来管理组件的使用,但是很多企业很难有效的执行这些策略。
开源合作将在2019年蓬勃发展
开源软件的生产和消费趋势都在发生变化。就消费方面来说,以后将会很难找到一个在构建其产品和服务时,不使用开源代码的企业。
越来越多的开源库正在被创建,这些开源库的传播越来越快,而且分布在越来越小的部分中。开源数量和速度上的快速增长,意味着能够快速并频繁对应用程序进行安全评估变得至关重要。
与此同时,应用程序开发的速度正在稳步提高,这意味着任何阻碍或者打断开发人员工作流程的安全检查都不会是有效的方法。如今保证应用程序的安全工作,需要能够无摩擦并容易的进行,这很大程度上意味着需要实行自动化。我们将需要强大的自动化和机器学习,为开发人员识别,追踪和指出漏洞。
开发团队和安全团队的合作,将会促进发展,并能够对开源组件的安全性进行必要的审查。
相关阅读
