据 WhiteSource 的报告显示,2015年和 2016年,每年开源安全漏洞的数量不超过 2000,但是在 2017年和 2018年,开源安全漏洞的数量一路飙升,超过4000, 2019年,开源安全的漏洞超过6000个,突破历史记录。
然而,在当今复杂而多变的商业环境中,业务团队无法接受速度的迟滞,在研发效率和编码速度的考量下,几乎所有的软件应用都基于第三方的组件、开源代码、通用函数库实现。随之而来又经常被忽视的是:绝大多数应用程序都包含开源组件风险。根据行业公司的调查报告,超过70%的应用在初步检测时就会被发现其存在开源组件漏洞,而最终的检测结果,存在开源组件漏洞的软件应用比例超过 90%。我们不应一再忽视如此显而易见而又影响广泛的风险。
数据来源:State of Software Security:Open Source Editon,Veracode
企业对于漏洞和使用开源组件情况不可知,发现安全问题不能及时补救修复等问题日益凸显,漏洞管理生态系统近年来应运而生,并逐渐成熟起来,安全从业者投入大量时间来发现、管理、分类和交流漏洞。漏洞描述的标准化不仅有助于威胁情报共享,而且还有助于有效管理潜在的威胁,帮助组织、供应商积极寻求发现漏洞并及时作出响应,从而降低安全风险。
用户4大痛点
NO.1 开源漏洞风险不可知
目前使用的开源软件中存在多少已知安全漏洞和知识产权风险?
NO