开源建站系统的开源组件风险

在互联网迅速发展的今天，许多企业和个人的建立网站的需求在持续增加。在没有太多资金预算的情况下，唯有自己建站了。而目前建站分为开源建站和模板建站（也就是不开源建站）两种。

为什么选择开源建站系统？

如果你懂技术知识，或者是企业有技术人员，那么就可以使用开源建站系统来建站。开源建站系统的最大优点就是系统源代码开放，这样就既可以下载安装部署到自己的服务器上，又可以对网站进行二次开发，而模板建站系统虽然使用起来很简单只需要在线选择模板再添加需要的功能板块就可以了，但使用开源建站系统则可以避免因原有业务不续费，要转换服务商，而丢失过往资料、数据以及域名。

热门开源建站系统安全吗？

近期开源安全研究院对Gitee上热门的15个开源建站系统的最新版本使用开源网安SourceCheck（开源组件安全及合规管理平台）进行了扫描然后对它们的结果进行了统计分析：（根据超危的漏洞数目由高到低排序）

15个开源建站系统中14个都被报出超危漏洞，而测试样本里风险最高的老花生/Open-Shop超危个数最多,为33个。由此可见，热门的开源建站系统都存在着超危级别的风险。

热门开源建站系统大部分都使用了哪些存在超危漏洞的组件？

开源安全研究院汇总了14份安全报告中提供了超危组件并依据出现的频率进行了统计

在报告中还能够看到的是有些组件被检出是超危风险的频率比较高。这个问题该怎么解决呢？ 

 如何规避开源建站系统的风险？

最简单的方法是通过进行组件的升级来降低风险等级。

例如在微同科技/微同商城中的bcprov-jdk5on组件（1.59版本）的风险等级被报出为超危。

而在众邦科技/CRMEB打通版的同样使用了bcprov-jdk15on组件，但是因为版本号是（1.64版），最高才中危级别。

以下是开源安全研究院推荐使用的组件版本

（按照字母顺序排列）

“开源”有便利，但别忘了“开源”也有风险

随着互联网的发展，国家对数字化进程的推动，加上中国电商市场的迅速发展，越来越多的人涌入电商市场，而开源建站系统的优势也成为预算成本没那么多的一些人的首选。这大概也是热门开源建站系统中几乎都是用于建新零售/网店/商城方向的软件的原因了。

经过以上调研可以发现的就是，绝大部分的开源建站系统都是存在着组件漏洞风险的，所以当大家在使用它的便利的同时也不可忽视它存在着的组件漏洞风险。要注意网站的系统安全，以防哪天这些组件就打开了个后门窃取了而造成了损失。

可能会有人说如果发现了它们自己的源代码存在了漏洞修不修复呢？想必没有关注我们上一期讨论的漏洞修不修的问题吧？记得在使用开源建站系统的同时不要忘记关注它的风险。