当前位置: 皇家赌场网址68399 > 新闻中心 > 正文

的企业代码库包含开源漏洞,新思科技OSSRA报告

时间:2019-11-08 19:42来源:新闻中心
2019年OSSRA报告中最值得注意的开源风险趋势包括: 了解开源的已知漏洞。 国家漏洞数据库(National VulnerabilityDatabase)等公共资源是公开披露开源组件漏洞信息的可靠平台。但是,不要仅仅

皇家赌场登录网址 1

2019年OSSRA报告中最值得注意的开源风险趋势包括:

了解开源的已知漏洞。国家漏洞数据库(National Vulnerability Database)等公共资源是公开披露开源组件漏洞信息的可靠平台。但是,不要仅仅依靠NVD来获取漏洞信息。还需要查看其它资料。这些资料提供影响代码库的漏洞的早期通知,理想情况下,还会提供安全性洞察、技术详细信息以及升级和修补程序指南。

Snyk报告中提到,有37% 的开源开发者在持续集成期间没有实施任何类型的安全测试,54% 的开发者没有对Docker 镜像进行任何安全测试。这也导致两年时间内,各大平台的应用程序漏洞数量增长了88%。 GitHub上排名前40万的公共代码库中,仅2.4%有安全文档。而npm 和Maven 中央仓库的安全隐患尤其严重,因为二者也是工具包数量增长最多的平台。

报告中发现漏洞的平均“年龄”为 6.6 岁。其中,最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞,在 28 年前被披露。报告结果显示,有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处,也没有对组件目录进行系统管理,这些软件没有打新的补丁,更容易被攻击。

• 总体而言,开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件,2017年则为74%。

新思科技的黑鸭审计服务团队每年为其客户进行数千个代码库的开源审计。这些审计需求主​​要来自合并和收购交易,并最终成为我们年度《开源安全和风险分析》报告的匿名数据的关键来源。

图片来源@视觉中国

开源代码有着它的安全优势,但也存在着安全漏洞未修补的隐患,开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中,至少包含一个漏洞的代码库占 60% ,这个数字比 2017 年统计的结果 78% 有所下降。

报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:

皇家赌场登录网址 2

而大多数云供应商在将企业数据上传到集群之前都不会加密数据,比如OpenStack就不提供任何数据加密方法。这就需要企业和用户自己先加密数据,再上传加密后的数据和管理密钥本身。

近日,Synopsys 公司的黑鸭软件(Black Duck Software)发布了开源安全与风险分析年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说,开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因,其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。

• 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件,每个代码库中平均有298个开源组件,2017年则为257个。

最重要的是,如果企业不知道自己正在使用什么软件,那就无法提供修补方案。如果您无法充满信心地说在内部和外部应用程序中使用的开源组件是最更新的,应用了所有关键补丁,那么就该重新评估现有的开源管理策略和流程了。

在硬件端,谷歌也刚刚推出了针对低端手机的新加密标准Adiantum,在没有足够计算能力芯片的前提下,也能实现高速计算来进行哈希算法加密及解密,从而提升终端设备的安全性能。

在黑鸭审查的所有代码库中,有 96% 包含了开源组件,而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中,开源代码的采用率高达 99%。

皇家赌场登录网址 3

确保审查开源是并购尽职调查一部分。如果您正在进行收购,请了解目标公司正在使用的开源,它可能没有适当地管理好这些开源。不要犹豫,询问有关其开源使用和管理的问题。如果软件资产是公司估值的重要组成部分,请让第三方来审核开源代码。

搞了半天开发者们都是在不系“安全带”的前提下超速飙车啊??话又说回来,漏洞的存在会带来多大的影响呢?

黑鸭认为,发现的漏洞有 40% 都是关键级的。“事实上,开源并不总是更安全。”报告指出,无论项目源码是专有的还是开源的,都可能因为漏洞的存在,安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。

• 并非所有的漏洞都相同,但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。

有什么风险?

著名的“交友网站”GitHub是程序员的“大本营”,很多人都将源代码托管在上面,并不断利用社区开源资源开发新的算法、软件、应用。

“一般只有少数开源漏洞,比如那些影响 ApacheStruts 或 OpenSSL 的漏洞,有可能被广泛利用。”研究人员表示,项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上,在关注 “0day” 的同时,也应该关注开源组件的生命周期。

• 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞,相比2017年的78%已经改善不少。

作者:新思科技高级内容策略师Fred Bals

原本不需要这么紧张的,但在开源的情况下,事情就变得很不一样了。

很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。

开源为使用它的组织提供了许多好处 - 但只有在正确管理开源以识别任何安全和法律合规性问题时。为了防范开源安全和合规风险,企业应该:

尤其是现在越来越多的机构与企业选择云计算技术作为复杂业务的解决方案,开源云平台的安全问题也更加速咋,因此,数据加密算法的解决方案就显得尤为重要了。

• 许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年,略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16,500个新漏洞,其明确的修补流程需要扩展以适应增加的披露的漏洞。

皇家赌场登录网址 4

  1. 加密算法

皇家赌场登录网址 ,美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布了《2019年开源安全和风险分析》报告。该报告由新思科技网络安全研究中心制作,审查了由黑鸭审计服务团队执行的超过1,200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。

监控新的安全威胁。当应用程序完成开发时,追踪漏洞的工作还未结束。只要应用程序仍在使用中,企业就需要持续监控新威胁。

重赏之下,安全漏洞的时间差也有望有效减少。

• “废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护,也就意味着没有人正在处理其潜在的漏洞。

正确管理开源软件不仅仅是关乎安全性

显然,开源代码所谓的“众人之眼”,并不能有效地杜绝安全漏洞,至少不能保证在黑客降临之前消灭隐患。

• 开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突,38%的代码库包含没有可识别许可证的开源组件。

除了安全和许可风险之外,操作风险是开源使用不太严重但仍然不可忽视的后果。今天使用的许多开源组件都被放弃了。换句话说,他们没有开发人员社区贡献、修补或改进它们。如果组件处于非活动状态且没有人维护它,则意味着没有人正在解决其潜在的漏洞。 2019年OSSRA报告指出,85%的被审计代码库包含超过四年没有更新或在过去两年没有开发活动的组件。

开源代码的安全战役,有没有另一种打开方式?

新思科技网络安全研究中心首席安全策略师Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”

必须让开发人员了解管理使用开源的必要性。企业实施自动化流程、追踪代码库中的开源组件及其已知的安全漏洞、以及版本控制和重复等操作风险,并根据问题的严重性确定问题的优先级。

这样一个极客云集的平台,居然被黑客给一窝端了,委实有点玄幻。

报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。

开源组件构成了现代应用程序的基础。但无效的开源风险管理可能会导致安全漏洞,从而对业务产生负面影响并损害品牌形象。

那么,除了改密码、打补丁之外,产业端有没有一些更“治本”的办法来杜绝此类隐患呢?

皇家赌场登录网址 5

然而,很少有公司能够充分追踪他们在代码中使用的开源组件,并且没有采用开发人员使用开源所做出的选择所需的策略、流程和工具。因此,开源带来的所有好处也可能带来各种风险。

在此基础上,企业利用开源软件或组件来进行开发,就像在一个摇摇欲坠的积木塔上盖楼一样,全靠运气。

无处不在的开源为攻击者提供了一个有利的环境,因为漏洞是通过国家漏洞数据库、邮件列表、GitHub问题和项目主页等来源披露的。如前所述,许多企业没有保留其应用程序中使用的开源组件的准确、全面和最新的清单。例如,美国参议院常设调查小组委员会的一份工作人员报告指出,Equifax缺乏完整的软件库存是导致其2017年大规模数据泄露的一个因素。

很多我们熟悉的日常软件功能,比如支付账单、娱乐社交、工作效率等等,有60-80%的代码库都来自开源社区。

但无论是专有软件还是开源软件,相当大数量的企业都没有及时应用补丁,而暴露在风险之中。不修补的原因是多种多样的:有些企业被无休止的可用补丁所淹没,无法确定需要修补的优先级;有的缺乏应用补丁的资源;有的需要平衡风险与财务成本之间的关系。

但是,由于开源资源分布散而广泛,很多漏洞软件会在GitHub,nowhere.net等网站上肆意流通,因此因此持续监控、赶在黑客前面发现漏洞也就成了一项艰巨的任务。

皇家赌场登录网址 6

2018年4月,黑客就暴力破解了流行开源Magento电子商务平台的口令,利用拿到的访问权大肆搜刮信用卡记录并安装加密货币挖矿恶意软件。另外诸如著名的OpenSSL水牢漏洞事件、心脏滴血事件、Equifax数据泄露事件、Gmail、yahoo和Hotmail账号泄露等等,都是被黑客抢占了先机。

审计发现,2018年扫描的代码库中有超过96%的代码库是开源的,超过99%的代码库包含超过1,000个由开源组件构成的文件。开源代码与代码库中代码总数的比例在2018年为60%,高于2017年的57%。这些数字反映了经审计的代码库通常来自业务是构建软件的公司。这些公司的价值通常体现在其拥有的专有代码,它们代码库中开源代码与专有代码的比例往往较低。

5月2日开始,GitHub遭到了黑客的攻击勒索,有370多名用户的源代码和信息被名为“gitb ackup”的账号删除。

使用开源并不是在冒险,但是开源的非托管使用却有风险

文| 脑极体

识别许可风险。不遵守开源许可证可能会导致企业面临诉讼和危害知识产权的重大风险。教育开发人员了解开源许可证及其义务。让法律顾问也参与教育过程,当然他们还有审查许可证和遵守法律义务。

无论是防止源代码中的信息泄露,还是要寻找恶意文件、阻止恶意进程、保证端点安全,都有越来越多的技术工具可供使用,许多云安全公司和运营商等也都开始参与安全工具的开发。

所有软件,无论是专有软件还是开源软件,都存在可能存在漏洞。企业需要识别和修补这些漏洞。开源社区在发布补丁方面做出了示范性的工作,通常比专有软件快得多。

  1. 新技术工具

无论您参考哪组数据,很明显开源组件和库是每个行业中几乎所有应用程序的支柱。大多数企业拥有数千种不同的软件,从移动应用程序到基于云的系统,再到本地运行的遗留系统。该软件通常是商业现成软件包、开源软件和定制代码库的混合体。漏洞影响所有软件。

但问题是,如果我们吃了一家餐厅的食物而中毒了,那么可以起诉这家餐厅。但同样的逻辑在数字世界却不成立了。如果用户因为一个软件而中毒/被盗窃个人信息,他几乎没有办法找平台负责(参考Facebook隐私门)。而且软件开发商还会在用户许可协议中进行“免责”,要求用户同意不因为安全漏洞而起诉它。

未修补的软件漏洞是企业面临的最大的网络威胁之一,软件中未修补的开源组件增加了安全风险。 2019年OSSRA报告指出,2018年审计的代码库中有60%至少存在某种开源漏洞。 新思科技在2018年为其黑鸭 KnowledgeBase™知识库增加了7,393个开源漏洞。过去二十年,该知识库已经报告了超过50,000个开源漏洞。

如果我们将数据信息看做是网络世界最宝贵的财富,那么加密机制就是一个可以保护数据的保险箱。除了将箱体打造的更加水火不侵,“锁芯”这道防线也需要不断迭代。

正如红帽报告指出的那样,安全被认为是阻碍一些企业允许开源使用的主要障碍。有趣的是,同一份报告将安全性视为IT决策者在使用开源时所看到的最大好处之一。这种看似矛盾反映了两种现状:人们担心非托管开源代码可能会在开源和专有解决方案中引入漏洞;人们意识到正确管理开源

诸如Commit Watcher等种种开源工具的出现,帮助程序员查找潜在危险失误,也正在使软件开发过程变得大不相同。

执行其开源软件的完整清单。在代码库中使用完整、准确、及时的开源清单至关重要。清单应涵盖两个方面:源代码;如何在生产中部署或用作应用程序中的库的任何商业软件或二进制文件中使用开源的信息。

那么问题来了,究竟是什么导致了程序员们如此“心大”,甚至不停地给黑客们“送人头”呢?

创建和执行开源风险政策和流程。只有少数开源漏洞 - 例如影响Apache Struts或OpenSSL的漏洞 - 可能会被广泛利用。考虑到这一点,企业应将其开源漏洞管理和缓解工作的重点放在CVSS评分和漏洞利用的可用性上,不仅仅是漏洞披露的“零天攻击”,而是贯穿开源组件生命周期。

他们几乎不需要付出太多努力,就能了解哪些组件更容易受到攻击以及如何做。然后,找到哪些平台和公司可能会反应迟钝,在被修复之前黑掉他们的系统。

近期发布的2019年OSSRA报告审查了1,200多个商业代码库的数据结果,这些代码库用于希望评估其开源许可证合规性和安全风险的企业和组织。

绝大多数企业的开发团队,对开源软件的使用都非常随意,这就给应用的安全风险管控带来了极大的挑战,运维人员也无法知晓软件系统中是否包含了开源软件,包含了哪些开源软件,以及这些软件中是否存在安全漏洞。

皇家赌场登录网址 7

如今,开源代码爆出安全漏洞的事件还在不停发生,而很多项目并没有查找和修复问题的机制。这么一想,GitHub的程序员用户算是幸运多了,至少他们还能掏赎金把自己的代码买回来。而那些被盗走了信息的普通用户,也许只能成为黑客们的“肉鸡”了。

  • 包括使用可信来源和自动化工具来发现和修复安全问题 - 可以大大减少开源风险的潜力。

1998年,“开源”这一概念被首次提出,到2019年已经度过了20个春秋。凭借着开放、共享、自由等特性,开源平台在软件开发中扮演着越来越重要的角色。Gartner的一项调查显示,有99%的组织在其IT系统中使用了开源软件。

风险问题来自未修补的软件,不是使用开源

2012年,谷歌推出了Chrome奖励计划和漏洞奖励计划,鼓励程序员找出其浏览器及在线服务中的具体弱点,使得广泛使用的开源软件尽可能不那么容易遭受攻击,并为此支付500到3133美元不等的报酬。2013年,美国国家安全局也拨出了2510万美元,用于“额外秘密购买软件弱点”。

相比之下,Forrester和Gartner等分析师指出,超过90%的IT企业在任务关键型的工作中使用开源软件,而且开源占据了90%的新代码库。根据2019年红帽“企业开源状态”报告,超过69%的受访企业认为他们使用开源至少“非常重要”(40%非常重要,29%极其重要)。

为此,剑桥大学安全研究员Richard Clayton博士曾提出,要让软件开发商为可避免的安全漏洞带来的损失负起责任。欧盟官员也一度考虑,试图将开发人员的草率编码行为导致的恶意漏洞引入法律。但最终都不了了之。

开源的某些特性使流行组件中的漏洞很容易受到攻击。商业软件的发布者可以自动向用户推送修复,补丁和更新。但与商业软件不同,您需要负责追踪使用的开源的漏洞和修复程序。

皇家赌场登录网址 8

现在有数千个开源许可证,如果不遵守这些许可证,可能会使企业面临诉讼风险和损害知识产权风险。无论是使用开源计划认可的流行许可证还是其它许可证,企业只有在确定由这些许可证管理的开源组件后才能管理和遵守许可证要求。 2019年OSSRA报告中详述的经过审计的代码库中有32%包含可能导致冲突或需要进行法律审查的自定义许可证。 68%的代码库包含许可证冲突的组件。

其次,日益消弭的开发门槛和随性的开发者。以往,能够开发开源组件的开发者本身素质相对较高,代码质量较高,也使开源组件出漏洞的可能性较小。但随着许多界面友好的平台出现,像是GitHub,即使是新手编程也可以利用Git;任何人都可以免费注册和托管公共代码存储库,还有人利用GitHub来进行其他类型的项目,比如写书。

首先,开源社区顾此失彼的安全审查。一般情况下,为了让开源项目免于灾难,社区会依据Linux的Linus Torvalds,用他们的“千眼”不断地审查代码。运维人员必须十分小心,筛选代码,检查潜在的漏洞,并将其报告给安全数据库。

那么,有什么解决办法么?GitLab建议是,使用强密码降低被破解的风险,开启双重身份验证,使用SSH密钥等……

自欺欺人的“众人之眼”,与软件开发的三重门

而且,即使是成熟的开发人员,也需要不断在应用更新过程中解决新漏洞。但很少有程序员会审查旧工程中用到的库,一般就是到开源项目页面下载下来,集成到自己的应用中,然后就再也不管它了。这些软件自然也就像凤梨罐头一样,很快就过期。

皇家赌场登录网址 9

微软是这么反驳的:软件公司也是入室抢劫的受害者,大众不能起诉门和窗户的制造商。

皇家赌场登录网址 10

皇家赌场登录网址 11

缺乏安全基础的开发者增多,许多潜在的组件安全特性被忽略,而这些特性往往是造成漏洞的罪魁祸首。

皇家赌场登录网址 12

作为开源安全工具的孵化器,Red Team支持网络范围自动化,容器化渗透测试工具,二进制风险量化和标准验证程序等。并且能够在云上模拟黑客攻击,用户可以部署黑客脚本,并对现实中的团队进行安全培训。

还有一些公司由于兼容性问题、合规问题等原因,无法迁移到最新版本的开源代码,只能继续使用包含漏洞的旧代码。据Snyk称,只有16%的漏洞补丁是向后兼容其他版本的。这也给黑客们创造了不少机会。

不得不说,GitHub程序员被劫持事件给业界上了生动一课,提醒人们,开源软件和组件的先天不足,可能给普通网民和企业安全带来巨大的风险,尤其是建造着数字网络的“工程师”也可能“打盹儿”的时候。

  1. 漏洞奖励

用开源软件的倡导者Eric S. Raymond的话来说——高质量的代码,就是对程序自己最好的注释。

数据表明,如今开源平台漏洞出现到修复的时间,中位数几乎长达2年之久。这意味着,所有使用了那些漏洞代码或组件的软件用户,只是在黑客们的阴影还没来得及动手的“慈悲”下盲目而快乐地冲浪在网络。

从长远来看,开源社区更加灵活和开放的构建方式,会令它继续成为开发江湖的“根据地”。但当开放与自由成为双刃剑,又成为一个流着“奶与蜜”的数据丰饶之地,就很容易被不法之徒虎视眈眈。至少从GitHub这件事上看,开源代码的安全问题,应该已经来到了一个危险的临界点,也给一直以来“违规飙车”的业界敲响了警钟。

听起来是不是快要被说服了呢?打脸的是,在一个针对500多名开源项目维护者的调查中,清晰地展示了,只有30%不到三分之一的开源工程师具有较高的安全意识。这意味着,程序员和软件开发商并没有如大众期望的那样,将门和窗户建造的更牢固一点。

花开两朵各表一枝,这边GitHub程序员忙着找代码, 隔壁微软的开源开发平台也不幸被黑客选中了。黑客擦除了其392个代码储存库,要求微软支付一定的款项才会归还窃取的数百个源代码。

数字时代的进度条,因为开源而飞快加载。但步子迈得太大,也容易摔着。说到影响网络安全的最大掣肘,恐怕也要追溯到开源社区。

如今,漏洞赏金计划已成为许多互联网公司的重要安全策略之一,微软推出了迄今为止最高的Windows Bug奖励计划,达到250000美金。苹果、美国国防部、Facebook、腾讯、阿里ASRC、百度等为其漏洞支付的总金额也非常的惊人。

黑客下载了那些代码,并存储到了自己的服务器上。要求他们往特定账户上支付0.1比特币。并进行了恶狠狠发威胁——“如果我们在未来10天内未收到您的付款,会将您的代码公开或以其他方式使用。”

无论从哪个角度看,开源代码的安全战都是一场十分必要、不容退却的全民战争。当然了,普通用户只能打call,冲锋陷阵的还得是软件公司和程序员们。

比如最近的开源领导者峰会上,Linux基金会就宣布了Red Team项目。新项目将孵化开源网络安全工具,以帮助提高开源软件的安全性。

什么??全球顶尖程序员汇聚的平台,安全措施也这么原始吗?富土康流水线工人、村头王大爷的交友账号也都是这么提示的好吗?

(每种语言其生态系统的新漏洞增长情况)

导致这一现象的,是一种蔓延在整个软件开发产业链上的“迷之自信”:

从GitHub说起:开源社区集体缺了一节“安全行驶课”

前不久Snyk 公司发布的2019年开源安全现状调查报告也说明,开源项目的采用率正在以惊人的速度增长。仅是2018年,Java 工具包翻了一番,而npm 增加了大约250000 个新的工具包。

因为当一个开源组件存在漏洞时,这个漏洞会迅速公布。原本,开源可以让更多人及时发现漏洞,并对其执行必要的修复。不幸的是,一些图谋不轨的人也同样可以看到这些信息。

像是可以对企业数据进行安全分级,对等级高的数据先采用对称算法进行加密,并将对称算法产生的秘钥进行非对称加密存储,从而兼顾数据和安全性,以及系统运行效率。

总而言之,在这样从源代码创造、分享、开发等一系列产业链上的“不着调”,造成了“涟漪效应”,最终缔造了令人头痛的安全事故。

对此,许多受害者认为,开源平台遭受攻击是其上开发的应用程序有漏洞,被黑客利用了。

对此,产业界也开始拿出了一些试图从根源上解决问题的办法。简单说几个:

编辑:新闻中心 本文来源:的企业代码库包含开源漏洞,新思科技OSSRA报告

关键词: