无处不在的开源组件漏洞风险:Veracode发布2017年软件安全报告

代码安全和安全开发是信息安全的源头,也是最重要的环节,但是随着开源组件的流行,开源组件漏洞正在对安全开发构成广泛威胁。

随着敏捷开发和开源软件的流行,开源组件如今是开发者的宠儿,研究显示如今一个软件中平均75%的软件代码都来自开源组件!但这些开源组件中的漏洞也带来了巨大的安全风险。

Veracode最新发布的2017年软件安全报告显示,88%的Java应用包含至少一个含有漏洞的组件,容易遭受攻击。而且由于组件(包括开源组件)往往被大量应用复用,一个组件的漏洞被挖掘利用,可导致数以千计的使用该组件的应用面临被攻击风险。而只有不到28%的企业会对软件组件安全性进行常规审查。

事实上,过去12个月中对多个Java应用的回报丰厚的攻击,根源都是流行开源商业组件中的漏洞所致。其中一个典型的例子是今年3月份爆出的Struts-Shock漏洞,根据分析,使用Apache Struts 2代码库的Java程序中,68%都在使用一个含有远程代码执行漏洞(RCE)的版本,这直接导致3500万个网站面临攻击风险。

报告还显示,大约53.3%的Java应用都在使用包含漏洞的Commons Collectins Component组件版本,即使到今天,开发者使用含有漏洞版本的比例依然没有显著下降。

开源组件漏洞已经成为软件安全和开发安全最为头疼的问题之一,根据FVeracode的SoSS报告,虽然很多企业都根据漏洞的严重程度安排修补优先级,但是即使是最严重的漏洞也很难得到高效率的修补,例如只有22%的高危漏洞能够在30天内得到修补。而黑客和国家组织又充分的时间利用漏洞入侵企业网络。

报告原文下载:

link-template-calltoaction4.php

此报告中行业领域的软件安全调查数据,请点击访问Veracode的软件安全报告查询信息库

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

传媒领域资深人士,IT行业净坛使者。 联系邮箱:zhanglin@ctocio.com