無處不在的開源組件漏洞風險:Veracode發(fā)布2017年軟件安全報告
文章來源:IT經(jīng)理網(wǎng)
發(fā)布時間:2017-12-27 10:07:03
軟件安全代碼安全報告.jpg)
代碼安全和安全開發(fā)是信息安全的源頭���,也是最重要的環(huán)節(jié)�,但是隨著開源組件的流行���,開源組件漏洞正在對安全開發(fā)構成廣泛威脅�。
隨著敏捷開發(fā)和開源軟件的流行�����,開源組件如今是開發(fā)者的寵兒,研究顯示如今一個軟件中平均75%的軟件代碼都來自開源組件��!但這些開源組件中的漏洞也帶來了巨大的安全風險�����。
Veracode最新發(fā)布的2017年軟件安全報告顯示�����,88%的Java應用包含至少一個含有漏洞的組件���,容易遭受攻擊��。而且由于組件(包括開源組件)往往被大量應用復用���,一個組件的漏洞被挖掘利用,可導致數(shù)以千計的使用該組件的應用面臨被攻擊風險���。而只有不到28%的企業(yè)會對軟件組件安全性進行常規(guī)審查����。
事實上,過去12個月中對多個Java應用的回報豐厚的攻擊���,根源都是流行開源商業(yè)組件中的漏洞所致�。其中一個典型的例子是今年3月份爆出的Struts-Shock漏洞���,根據(jù)分析����,使用Apache Struts 2代碼庫的Java程序中�,68%都在使用一個含有遠程代碼執(zhí)行漏洞(RCE)的版本,這直接導致3500萬個網(wǎng)站面臨攻擊風險�����。
報告還顯示���,大約53.3%的Java應用都在使用包含漏洞的Commons Collectins Component組件版本,即使到今天�,開發(fā)者使用含有漏洞版本的比例依然沒有顯著下降。
開源組件漏洞已經(jīng)成為軟件安全和開發(fā)安全最為頭疼的問題之一���,根據(jù)FVeracode的SoSS報告����,雖然很多企業(yè)都根據(jù)漏洞的嚴重程度安排修補優(yōu)先級,但是即使是最嚴重的漏洞也很難得到高效率的修補���,例如只有22%的高危漏洞能夠在30天內(nèi)得到修補����。而黑客和國家組織又充分的時間利用漏洞入侵企業(yè)網(wǎng)絡���。
報告原文下載:
此報告中行業(yè)領域的軟件安全調(diào)查數(shù)據(jù)�����,請點擊訪問Veracode的軟件安全報告查詢信息庫����。
軟件安全代碼安全報告.jpg)
