近期,一份来自安全测试公司的报告显示,开源领域的应用安全情况整体有所好转,但依然存在问题,包括开源代码的漏洞被利用,以及第三方代码库本身的风险。
上述发现出自 Veracode 发布的《软件安全报告(第12版)》,报告中所使用的数百万不同类型的数据来自 Veracode 的服务端和客户端,并对这些数据进行了静态分析、动态分析、软件组成分析和渗透测试。
PART ONE
报告称:「开源库仍然是一个令人担忧的安全因素」,这是一个长期存在,并持续至今的隐患,原因就在于开发者们的不良习惯。
大量开发者年复一年地使用同一个代码库,事实和经验证明,这会导致我们年复一年地遇到同样的安全漏洞
尽管如此,报告仍然认为,第三方开源代码库有不少优点,存在的缺陷更少,且问题能得到更快的解决:
好的一面是,第三方代码造成的安全漏洞,在修复的及时性上有显著改善。在 2017 年,一个安全漏洞从被发现,到 50 %的缺陷被解决的修复点,需要三年多的时间,现在只需要一年左右。
除此之外,报告还研究了安全漏洞的修复过程,并展望了安全应用的未来:「总体来说,应用安全情况有所好转,漏洞的影响范围整体也在下降。」
同时,Veracode 也指出,代码之间愈加紧密的连接,和分布式微服务的兴起,使得应用安全性变得更复杂了:
「造成这一情况的原因,除了代码之间更紧密的关联,还有竞争加剧和不断创新带来的影响」。为了加快进度,很多开发团队转向云原生技术、微服务架构和代码开源来优化他们的工作流。
此外,越来越多的开发团队采用敏捷开发,并在开发过程中尽可能多地使用自动化。
虽然这种演变缩短了软件开发生命周期,但同时也带来了新的复杂性和风险。
PART TWO
报告中,有一些数据值得我们关注:
PART THREE
基于数据,Veracode 得出四个结论:
PART FOUR
在报告最后,Veracode 总结道:
安全漏洞像账单一样,随着时间推移而不断累积,尽早解决,就能减轻未来的工作量。使用多种类型的安全扫描——静态、动态或软件组合分析,可以更全面地了解应用的安全性,并有助于更快、更彻底地进行解决安全问题。■
英文链接:App Security Report: Open Source Code Still 'Blessing and a Curse' -- Virtualization Review
后台回复关键词「软件安全报告」,即可下载报告完整版PDF。
腾源会是腾讯云成立的汇聚开源项目、开源爱好者、开源领导者的开放社区,致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值,让全球开源生态变得更加繁荣。
欢迎关注「腾源会」公众号,期待你的「在看」哦~👇