无处不在的开源组件漏洞风险：Veracode发布2017年软件安全报告

代码安全和安全开发是信息安全的源头，也是最重要的环节，但是随着开源组件的流行，开源组件漏洞正在对安全开发构成广泛威胁。

随着敏捷开发和开源软件的流行，开源组件如今是开发者的宠儿，研究显示如今一个软件中平均75%的软件代码都来自开源组件！但这些开源组件中的漏洞也带来了巨大的安全风险。

Veracode最新发布的2017年软件安全报告显示，88%的Java应用包含至少一个含有漏洞的组件，容易遭受攻击。而且由于组件（包括开源组件）往往被大量应用复用，一个组件的漏洞被挖掘利用，可导致数以千计的使用该组件的应用面临被攻击风险。而只有不到28%的企业会对软件组件安全性进行常规审查。

事实上，过去12个月中对多个Java应用的回报丰厚的攻击，根源都是流行开源商业组件中的漏洞所致。其中一个典型的例子是今年3月份爆出的Struts-Shock漏洞，根据分析，使用Apache Struts 2代码库的Java程序中，68%都在使用一个含有远程代码执行漏洞（RCE）的版本，这直接导致3500万个网站面临攻击风险。

报告还显示，大约53.3%的Java应用都在使用包含漏洞的Commons Collectins Component组件版本，即使到今天，开发者使用含有漏洞版本的比例依然没有显著下降。

开源组件漏洞已经成为软件安全和开发安全最为头疼的问题之一，根据FVeracode的SoSS报告，虽然很多企业都根据漏洞的严重程度安排修补优先级，但是即使是最严重的漏洞也很难得到高效率的修补，例如只有22%的高危漏洞能够在30天内得到修补。而黑客和国家组织又充分的时间利用漏洞入侵企业网络。

报告原文下载：

此报告中行业领域的软件安全调查数据，请点击访问Veracode的软件安全报告查询信息库。