无处不在的开源组件漏洞风险:Veracode发布2017年软件安全报告
代码安全和安全开发是信息安全的源头,也是最重要的环节,但是随着开源组件的流行,开源组件漏洞正在对安全开发构成广泛威胁。
随着敏捷开发和开源软件的流行,开源组件如今是开发者的宠儿,研究显示如今一个软件中平均75%的软件代码都来自开源组件!但这些开源组件中的漏洞也带来了巨大的安全风险。
Veracode最新发布的2017年软件安全报告显示,88%的Java应用包含至少一个含有漏洞的组件,容易遭受攻击。而且由于组件(包括开源组件)往往被大量应用复用,一个组件的漏洞被挖掘利用,可导致数以千计的使用该组件的应用面临被攻击风险。而只有不到28%的企业会对软件组件安全性进行常规审查。
事实上,过去12个月中对多个Java应用的回报丰厚的攻击,根源都是流行开源商业组件中的漏洞所致。其中一个典型的例子是今年3月份爆出的Struts-Shock漏洞,根据分析,使用Apache Struts 2代码库的Java程序中,68%都在使用一个含有远程代码执行漏洞(RCE)的版本,这直接导致3500万个网站面临攻击风险。
报告还显示,大约53.3%的Java应用都在使用包含漏洞的Commons Collectins Component组件版本,即使到今天,开发者使用含有漏洞版本的比例依然没有显著下降。
开源组件漏洞已经成为软件安全和开发安全最为头疼的问题之一,根据FVeracode的SoSS报告,虽然很多企业都根据漏洞的严重程度安排修补优先级,但是即使是最严重的漏洞也很难得到高效率的修补,例如只有22%的高危漏洞能够在30天内得到修补。而黑客和国家组织又充分的时间利用漏洞入侵企业网络。
报告原文下载:
此报告中行业领域的软件安全调查数据,请点击访问Veracode的软件安全报告查询信息库。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: