代碼安全和安全開(kāi)發(fā)是信息安全的源頭，也是最重要的環(huán)節(jié)，但是隨著開(kāi)源組件的流行，開(kāi)源組件漏洞正在對(duì)安全開(kāi)發(fā)構(gòu)成廣泛威脅。

隨著敏捷開(kāi)發(fā)和開(kāi)源軟件的流行，開(kāi)源組件如今是開(kāi)發(fā)者的寵兒，研究顯示如今一個(gè)軟件中平均75%的軟件代碼都來(lái)自開(kāi)源組件！但這些開(kāi)源組件中的漏洞也帶來(lái)了巨大的安全風(fēng)險(xiǎn)。

Veracode最新發(fā)布的2017年軟件安全報(bào)告顯示，88%的Java應(yīng)用包含至少一個(gè)含有漏洞的組件，容易遭受攻擊。而且由于組件（包括開(kāi)源組件）往往被大量應(yīng)用復(fù)用，一個(gè)組件的漏洞被挖掘利用，可導(dǎo)致數(shù)以千計(jì)的使用該組件的應(yīng)用面臨被攻擊風(fēng)險(xiǎn)。而只有不到28%的企業(yè)會(huì)對(duì)軟件組件安全性進(jìn)行常規(guī)審查。

事實(shí)上，過(guò)去12個(gè)月中對(duì)多個(gè)Java應(yīng)用的回報(bào)豐厚的攻擊，根源都是流行開(kāi)源商業(yè)組件中的漏洞所致。其中一個(gè)典型的例子是今年3月份爆出的Struts-Shock漏洞，根據(jù)分析，使用Apache Struts 2代碼庫(kù)的Java程序中，68%都在使用一個(gè)含有遠(yuǎn)程代碼執(zhí)行漏洞（RCE）的版本，這直接導(dǎo)致3500萬(wàn)個(gè)網(wǎng)站面臨攻擊風(fēng)險(xiǎn)。

報(bào)告還顯示，大約53.3%的Java應(yīng)用都在使用包含漏洞的Commons Collectins Component組件版本，即使到今天，開(kāi)發(fā)者使用含有漏洞版本的比例依然沒(méi)有顯著下降。

開(kāi)源組件漏洞已經(jīng)成為軟件安全和開(kāi)發(fā)安全最為頭疼的問(wèn)題之一，根據(jù)FVeracode的SoSS報(bào)告，雖然很多企業(yè)都根據(jù)漏洞的嚴(yán)重程度安排修補(bǔ)優(yōu)先級(jí)，但是即使是最嚴(yán)重的漏洞也很難得到高效率的修補(bǔ)，例如只有22%的高危漏洞能夠在30天內(nèi)得到修補(bǔ)。而黑客和國(guó)家組織又充分的時(shí)間利用漏洞入侵企業(yè)網(wǎng)絡(luò)。

此報(bào)告中行業(yè)領(lǐng)域的軟件安全調(diào)查數(shù)據(jù)，請(qǐng)點(diǎn)擊訪問(wèn)Veracode的軟件安全報(bào)告查詢信息庫(kù)。