开源软件风险犹在，近半数企业对开源安全信心不足丨报告解读

程序员--青青

已于 2024-01-17 22:44:08 修改

阅读量1k

点赞数 27

文章标签：开源软件开源安全

于 2023-12-30 14:00:00 首次发布

本文链接：https://blog.csdn.net/ZL_1618/article/details/135264677

版权

根据上周刚刚发布的两项研究显示，开源软件早已成为大多数应用程序的中坚力量，但它同时也为开发人员和安全团队带来了安全挑战，而这些挑战可以通过采用“安全左移”的方式解决。

开发者安全公司 Snyk 和 Linux 基金会的研究人员在他们的《2022 开源安全状况》报告中透露，超过41%的组织对他们的开源安全没有足够的信心。 报告中也表明在过去的三年中修复开源项目中的安全漏洞所需的时间一直在稳步增加，从2018年的49天到2021年的110天，增加了一倍以上。

开源之争：要高产还是注重安全？

一个基于 550 位受访者的调查显示，一个应用程序的开发项目中平均会有49个漏洞和80个调用开源代码的直接依赖项。 而且，该报告还发现只有不到一半的企业（49%）会对开源软件的开发或者使用采取安全策略。更糟糕的是，在大中型企业中这个比例只有27%。

“今天的软件开发商有他们自己的供应链，”Synk 开发者关系总监 Matt Jarvis 在一份声明中解释说，“与组装汽车零件类似，他们将现有的开源组件与他们自己的代码通过打补丁的方式组装起来。虽然提升了生产力，加快了创新，但也造成了重大的安全问题”。

安全左移能更早地暴露漏洞

AppSec 左移进展报告表明，通过将安全向“左”移或更接近软件开发生命周期的起点，可以实现更好的开源软件安全性。该报告基于用户对 ShiftLeft 核心产品的体验，发现76%的新漏洞可以在两个 Sprint 周期内得到修复。

漏洞之所以能够快速修复的其中一个原因是它们在早期就已经被发现。“每个开发人员在代码中的更改都会在90秒之内扫描完成，”ShiftLeft CEO 和联合创始人 Manish Gupta 提到，“因为代码在开发人员脑海中仍历历在目，所以他们更容易修复漏洞。”

该报告承认扫描时间的缩短并不仅仅因为其软件得到了改善。“我们了解到应用程序的平均代码行数减少了”报告指出，“这与更多的组织转向微服务和更小、更模块化的应用程序的现状一致。”

增加对漏洞的扫描减少修复时间

ShiftLeft 的客户还发现，他们需要在自己应用程序中解决的开源软件漏洞数量下降了97%，因为对手只能利用其中 3% 的漏洞。Gupta 指出，在分析开源软件漏洞时，重要的不是应用程序有多少漏洞，而是它们在哪里会被坏人利用。

ShiftLeft还报告说，其客户将解决漏洞所需的平均时间降低了37%，从2021年的19天下降到2022年的12天。报告中将这种下降归因于开发人员和安全团队在开发过程的早期进行更多的扫描。“我们的一些客户每月进行多达30,000次的扫描。” Gupta 提到。

是否每个漏洞都会被利用？

报告中还提出了一个问题：“攻击者是否真的可以触及到每个漏洞？”。这在处理 Log4j 这样的 0-Day 漏洞时非常重要，一些组织在2021年12月发现 Log4j 的几个月后仍在应对这一漏洞。报告中提到，在其客户的应用程序中使用的96%的 Log4j 没有被攻击的风险。

补救不可利用的漏洞对风险的影响为零，因此企业应该降低此类漏洞的修复优先级，把注意力放在其他方面。

参考链接:

State of Open Source Security 2022 snyk.io/reports/ope…

o/reports/open-source-security/")

AppSec Progress Report 2022 www.businesswire.com/news/home/2…## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。