基于开源程序漏洞的攻击在2017年将增长20%

现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势。但需要注意的是,Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到,基于开源软件漏洞的网络攻击活动数量在2017年将增长20%。

Black Duck软件公司的安全策略副总裁Mike Pittenger表示,商业软件项目的免费版本数量已经超过了50%甚至更多,而开源软件产品所占比重从2011年的3%增长到了现在的33%。平均每一款商业软件都会使用超过100个开源组件,而且三分之二的商业应用代码中已知是存在安全漏洞的。

最糟糕的是,买家和用户通常都没有办法知道他们所购买的产品使用了哪些开源组件。一般来说,公司在这一方面做的都不是很到位,有些公司可能会给客户提供一份产品组件清单,但这些清单所名列出的组件数量和类型往往是不完整的。

如果你打算在没有得到厂商允许的情况下对产品代码进行分析,那么你很有可能会违反他们的产品许可协议,而这将会给你带来一大堆麻烦,所以我们不建议用户这样做。但是由于行业地位和影响力等因素,某些大型企业在购买第三方软件产品时会要求厂商提供产品的完整技术细节,并且还会请类似Black Duck这样的第三方厂商来对产品代码进行安全审查。

Pittenger认为,避免使用开源软件其实并不可取。很多开源代码库的开发是完全符合行业标准的,而重复造车轮绝对是在浪费时间,这样不仅会延迟产品的上市时间,而且还会使公司的行业竞争力大大降低。因此,越来越多的商业软件开发商会开始在自己的产品中使用开源代码,而这种趋势目前正在加速发展。

目前,任何一个活跃的开源项目背后都有社区的积极支持,而这将会给这款产品带来可靠的安全保证和稳定的功能更新。在某些情况下,如何某款产品允许用户自行对软件源码进行安全审计,或者可以对该产品进行高度定制,那么将会对产品的安全性提升有很大的帮助。就我们的经验来看,如果某一款商业工具可以做到这件事情的话,那么肯定会有相应的开源工具可以做到同样的事情。

但是,这种“多渠道”的漏洞检查方法并不总是百分之百有效的,仍然会有很多开源代码中的漏洞会成为漏网之鱼。

AlienVault公司的安全顾问Javvad Malik表示:

“任何人都可以对代码进行审计,但并非每个人都会这样做,因为似乎每一个人都认为其他人已经对这些代码进行过安全审查了,这也就是问题之所在。”

因此,管理开源组件的问题已经成为了一个非常棘手的问题,而且网络犯罪分子们似乎也已经意识到了这一点,并逐渐开始利用我们的这一薄弱点来实施攻击。

在目前的互联网中,开源代码几乎无处不在,所以攻击者只需要利用一个漏洞就可以攻击大量的目标。对开源代码的追踪其实是非常困难的,隐私用户通常无法对产品中的开源代码进行及时地修复和更新,所以攻击者就可以利用很多已知的漏洞和安全研究专家所发布的漏洞PoC来实施攻击。

除此之外,物联网在去年也得到了非常迅速的发展,而物联网设备的安全性也成为了目前的一个令人头疼的问题。毫无疑问,这个问题在2017年仍将困扰着我们。

Malik认为,现在很多智能设备和物联网设备都会使用大量的开源工具,而臭名昭著的Mirai僵尸网络就是一个很好的例证。

与此同时,开发人员通常都不会去检测开源代码中的安全漏洞,而且有时候迫于产品开发期限的压力,他们明知代码中存在安全问题,却仍然选择直接使用它们。这也就意味着,即便是开源项目的维护人员及时发布了更新,外面也仍然存在很多未打补丁的产品。

当你的新产品使用了旧版本的开源组件时,你的新产品中也会存在已知的安全漏洞。而且据统计数据显示,商业软件项目中的安全漏洞平均年龄为五年,有些产品中的某一漏洞甚至存在了有十年之久。

OpenSSL代码库中的Heartbleed漏洞在2014年初被发现,而该漏洞的曝光也引起了业界的广泛关注。但是在去年,仍然有10%左右的应用软件正在使用包含漏洞的OpenSSL版本。而且Pittenger表示,安全研究专家平均每一年都可以在开源软件中找出2000到4000个安全漏洞。

解决这个问题则需要软件厂商和广大客户的共同努力,而且企业的软件开发人员也需要培养良好的安全意识。但我们应该做好心理准备,因为在情况好转之前,目前的安全状况只会变得更加糟糕。

* 参考来源:csoonline, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java学习网

助力程序员成功的几个好习惯

老实说,如果你google搜索“程序员的好习惯”这方面的内容,那么就会有很多大同小异的文章映入你的眼帘。 但是今天我想从一个略有不同的角度来探讨这个主题。不是关...

3406
来自专栏云计算D1net

云计算决策指南:解析医疗的7大解决方案

为了帮助你计划,这份云计算买家指南着眼于四大IaaS供应商:亚马逊、微软、谷歌和IBM。一份来自协同作用调查组织(Synergy Research Group)...

4049
来自专栏Crossin的编程教室

【读者投稿】数据说话,Python 的就业状况如何

不少读者在学习编程之后,做了一些自己的练手项目,或者积累了一些学习经验和心得,希望可以与更多的学习者交流分享。 因此,我们决定新增一个小栏目,提供给大家一个展...

3126
来自专栏新智元

【数据通天塔来了】谷歌、Facebook、微软、推特四巨头联手,打通全球数据壁垒!

【新智元导读】今天,谷歌、Facebook、微软和Twitter四大互联网巨头联手宣布了一个“数据传输大计”,旨在号召不同平台间数据的无障碍传输。可移植性和互操...

663
来自专栏Java学习网

程序员获取编程灵感的 10 种方式

有时我会陷入读着编程书但编不了程的陷阱。我不能总是找到一个可工作的有趣项目,即使我知道有大量的机会。如果你有相同的问题,这里的一些提示可能会有所帮助。 ? 1....

3375
来自专栏EAWorld

DevOps 10大IT管理工具

? 写在前面(译者自序) 很久没有写博客了,几乎不知道如何开始。多年过去,已经没有转载的热情,想想该干点啥呢? 我们数字化企业云平台团队近期在研发DevO...

3213
来自专栏DevOps时代的专栏

业务安全与 DevSecOps 的最佳实践

2532
来自专栏崔庆才的专栏

GitHub 最大更新:直接运行代码;人工智能凉了?年度报告揭示真相

很简单,以后你不光能在 GitHub 上存储和搜索代码,而且还能直接运行部分代码。这个期待已久的更新获得一致好评。详情如何,下面我们会仔细说。

1371
来自专栏量子位

GitHub最大更新:直接运行代码;人工智能凉了?年度报告揭示真相

很简单,以后你不光能在GitHub上存储和搜索代码,而且还能直接运行部分代码。这个期待已久的更新获得一致好评。详情如何,下面我们会仔细说。

942
来自专栏鹅厂网事

TIDP-为用户提供最佳互联网访问质量

1895

扫码关注云+社区