开放源代码安全漏洞报告揭示的风险

关键要点

根据Synopsys的一项新报告，尽管业界越来越关注软件供应链的安全问题，大多数组织的软件代码库仍然包含高风险的开放源代码漏洞。

这家提供应用安全服务的公司在其中表示，在2022年审查的1703个代码库中，84%的代码库至少包含一个已知的开放源代码漏洞，其中近一半（48%）被认为是高风险的。

“尽管安全行业近年来对软件供应链问题的认识有所提高，但我们的报告显示，许多组织在有效和安全地管理开放源代码的使用方面仍然面临困难，”Synopsys的高级软件解决方案经理MichaelMcGuire表示。

只是众多漏洞中的一个，突显出越来越多的组织在没有适当的漏洞管理流程的情况下采用免费的开放源代码，从而使它们容易受到潜在利用。

事实上，报告审计的96%代码库包含来自开放源代码项目或库的一些编程，平均每个组织的软件中有595个不同的开放源代码组件。

该报告还查看了过去五年的OSSRA报告数据，并得出结论，开放源代码漏洞的风险在不同领域中存在差异。

行业 | 高风险开放源代码漏洞的增长率
—|—
零售与电商 | 557%
航空航天与交通 | 232%
物联网 | 130%

McGuire强调，与物联网（IoT）相关的开放源代码漏洞越来越多，尤其令人担忧的是，这些设备与人们生活的许多方面相连接。

“物联网是一个相对不成熟的行业，竞争非常激烈。许多公司花费大量时间创新独特功能，以便在市场上区分他们的产品。然而，从零开始开发这些功能可能耗时且成本高昂，因此他们高度依赖开放源代码项目来帮助他们快速构建基础功能，”McGuire说。

根据报告，物联网垂直领域中100%的代码库包含开放源代码，2022年有53%的代码库存在高风险漏洞。

“尽管开放源代码漏洞和物联网设备都受到关注，但它们之间的联系往往没有得到充分重视，”Viakoo的首席执行官BudBroomhead表示。“Synopsys的报告明确指出了这一联系，令人警惕的是，几乎所有组织都已部署了解决IT安全的问题，但很少有组织采取行动来应对物联网漏洞。”

GuidePoint Security应用安全工程总监KristenBell表示，组织应该提升现有的漏洞管理流程和标准，以应对开放源代码漏洞的持续威胁，从而避免“尾巴摇狗”现象。

Synopsys的数据还表明，开发人员继续使用那些不再积极维护的组件，这表明迫切需要实施更好的治理实践，Bell指出。

此外，McGuire补充说，组织在数据清理方面应做得更好。

“我这样说是因为在我们识别的代码库中，有几种流行的高严重性漏洞的共同因素是‘数据清理’。看起来开发团队在清理他们的应用程序从用户或其他接口接收的输入数据时面临困难，”McGuire说。“这并不一定意味着他们无法做到或不知道如何做，但它可能暴露出这些团队只是信任其他方法或组件会完成清理工作。”