現(xiàn)在諸多企業(yè)使用開(kāi)源代碼的應(yīng)用程序，原因當(dāng)然是此程序有很多好處，其中包括它的透明度、靈活性以及它的成本效益和社區(qū)支持。但是這些產(chǎn)品的安全性如何保障呢？這就需要我們迅速發(fā)現(xiàn)這些安全漏洞，但是修補(bǔ)這些漏洞和應(yīng)用修補(bǔ)程序卻是另一回事。事實(shí)上過(guò)時(shí)的開(kāi)源組件在安全漏洞中也發(fā)揮了作用，所以大家不能忽視。為了讓大家免受開(kāi)源漏洞的侵害，今天我們分享幾個(gè)技巧，如果您遇到了這樣的問(wèn)題，也可以及時(shí)止損。

在營(yíng)銷技術(shù)行業(yè)中看到的所有公司(包括潛在客戶生成的CRM和社交媒體)在其應(yīng)用程序中都包含開(kāi)源代碼。其中，95%的代碼庫(kù)具有開(kāi)源漏洞。醫(yī)療保健部門中約98%的代碼庫(kù)包含開(kāi)源，其中67%具有安全漏洞。

金融服務(wù)行業(yè)中約有97%的代碼庫(kù)包含開(kāi)源，其中超過(guò)40%的代碼庫(kù)具有漏洞。零售和電子商務(wù)部門分析的代碼庫(kù)中有92%使用的是開(kāi)源，其中71%的代碼庫(kù)存在安全漏洞。

許多安全漏洞是廢棄的開(kāi)源組件的結(jié)果。過(guò)去兩年中，整整91%的代碼庫(kù)都具有開(kāi)源依賴項(xiàng)，并且沒(méi)有開(kāi)發(fā)活動(dòng)，這意味著代碼沒(méi)有改進(jìn)，也沒(méi)有安全補(bǔ)丁。

過(guò)去兩年中，超過(guò)90%的代碼庫(kù)使用的是開(kāi)放源代碼，沒(méi)有開(kāi)發(fā)活動(dòng)，這不足為奇。與商業(yè)軟件不同，供應(yīng)商可以將信息推送給用戶，而開(kāi)源軟件則需要社區(qū)參與才能蓬勃發(fā)展。孤立項(xiàng)目并不是一個(gè)新問(wèn)題，但是一旦發(fā)生，解決安全問(wèn)題就變得更加困難。

過(guò)時(shí)的開(kāi)源組件在安全漏洞中也發(fā)揮了作用。研究人員檢查的代碼庫(kù)中約有85%具有開(kāi)源依賴項(xiàng)，這些依賴項(xiàng)已過(guò)時(shí)四年以上。這些組件受到發(fā)布安全修復(fù)程序的活躍開(kāi)發(fā)人員社區(qū)的支持，但是商業(yè)客戶不一定會(huì)應(yīng)用這些修復(fù)程序。

開(kāi)源漏洞正在上升。2020年，具有易受攻擊的開(kāi)源組件的代碼庫(kù)的比例達(dá)到84%，比2019年增加9%。與此同時(shí)，具有高風(fēng)險(xiǎn)漏洞的代碼庫(kù)的比例從49%上升到60%。2019年在代碼庫(kù)中發(fā)現(xiàn)的幾個(gè)頂級(jí)開(kāi)源漏洞在2020年仍然存在。

為了幫助企業(yè)保護(hù)自己免受開(kāi)源漏洞的侵害，研究人員分享了以下技巧：

1、創(chuàng)建您的開(kāi)源資產(chǎn)清單。減少漏洞的暴露開(kāi)始于完整的開(kāi)源資產(chǎn)清單。理想情況下，每當(dāng)部署新軟件或更新軟件時(shí)，都將更新此清單，以便您確定是否已正確修補(bǔ)所有內(nèi)容。確保包括每個(gè)開(kāi)源組件的來(lái)源，因?yàn)檫@將告訴您在哪里可以找到正確的補(bǔ)丁。

2、審查供應(yīng)商如何處理補(bǔ)丁。當(dāng)您購(gòu)買新設(shè)備或應(yīng)用程序時(shí)，請(qǐng)查看供應(yīng)商如何發(fā)布軟件補(bǔ)丁。如果您不能自己確定，請(qǐng)與支持團(tuán)隊(duì)聯(lián)系。

3、必要時(shí)考慮其他供應(yīng)商。如果供應(yīng)商無(wú)法為您提供幫助或似乎沒(méi)有在更新自己的產(chǎn)品，則可能是時(shí)候找到其他供應(yīng)商了。如果供應(yīng)商跟不上補(bǔ)丁程序，那么安全性可能就沒(méi)有得到應(yīng)有的重視。

4、在應(yīng)用安全修補(bǔ)程序之前，請(qǐng)先對(duì)其進(jìn)行檢查。在應(yīng)用任何安全補(bǔ)丁之前，請(qǐng)確保完全檢查它。這對(duì)于開(kāi)源代碼尤為重要，因?yàn)殚_(kāi)發(fā)人員不知道您的特定環(huán)境并且無(wú)法對(duì)其進(jìn)行測(cè)試。

以上，我們介紹了關(guān)于開(kāi)源程序安全漏洞和及時(shí)止損的方法，希望能夠?qū)δ钠髽I(yè)信息安全有所幫助。如果您想了解更多關(guān)于開(kāi)源程序安全的相關(guān)信息，請(qǐng)您繼續(xù)關(guān)注中培偉業(yè)。