随着开源软件的广泛应用,安全问题日益凸显。99%的企业在IT系统中使用开源软件,但存在病毒、木马等安全隐患。北大软件工程中心对GitHub上的开源项目进行大数据分析,发现大量漏洞,其中多数未被收录。Java和JavaScript项目占比最高,开源漏洞收录自2014年起快速增长,影响广泛。建议企业加强开源软件审计和风险防范措施。
北大软件工程中心 北京北大软件工程股份有限公司 马森 曹向志
导语:随着软件开源文化的盛行,以github网站为主的开源项目在全球范围内广泛应用。根据权威组织数据分析给出,99%的企业和个人在其IT系统中采用开源软件。开源软件为系统开发提升效率的同时,也给软件埋下了安全隐患。一旦引用的开源代码中存在着病毒、木马、后门等,则可能随时爆发软件安全事件,给企业带来巨大经济损失,同时降低客户对企业的信任度,给企业带来不可挽回的损失。例如著名的OpenSSL水牢漏洞事件、心脏滴血事件、Equifax数据泄露事件、Gmail、yahoo和Hotmail账号泄露事件等等事件层出不穷。这些事件中有很多跟引用开源软件有关。
2017 年,Black Duck On-Demand(黑鸭按需)审计在每个代码库中发现了 257 个开源组件。到 2018 年,每个代码库中开源组件的数量增长了约 75%。审计发现,96% 的被扫描应用中存在开源组件,这一比例与去年的报告相似。而在被扫描的应用的代码库中,开源代码的平均比例从去年的 36% 增长到 57%,这表明开源代码的使用量在持续大幅度增长。审计还发现,每个代码库中开源漏洞的数量增长了 134%,而 78% 的被检查代码库中包含至少一个漏洞,每个代码库平均包含 64 个漏洞。这一高增长率部分归因于2017年报告的创记录的漏洞数量。仅美国国家漏洞数据库(NVD,National Vulnerability Database)就列出了超过 14,700 个漏洞,而 2016 年仅列出 6,400 个漏洞。其他报告给出的漏洞总数超过 2 万个,其中近8000 是 NVD 报告未列出的。这些数字说明了 2017 年所报告的所有已知漏洞的情况,但其中超过 4,800 个是开源漏洞,这延续了已知开源漏洞为期五年的增长趋势。过去 17 年来,已经有超过 40,000 个开源漏洞被报道。
GitHub是一个开源及私有软件项目的托管平台,是开源代码库集散地,超过150万个组织,2400万个人用户使用该平台。
北大软件工程中心网络安全团队长期对开源软件、开源项目等代码安全进行大数
最低0.47元/天 解锁文章
631
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
