歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> 學習Linux

帶有已知安全漏洞的開源組件仍被廣泛使用

帶有已知安全漏洞的開源組件仍被廣泛使用


帶有已知安全漏洞的開源組件仍被廣泛使用


導讀提供Maven中央倉庫托管服務的Sonatype公司說,Java 組件下載中,有1/16的下載組件中包含了安全問題。Sonatype聲稱,開發者們每年要下載超過310億個/次Java組件,每天也會新增超過1千個新組件以及超過1萬個的組件新版本。

現在企業都采用托管式的中央組件倉庫來存儲他們的代碼。這些代碼中有一些來自私有項目,而更多的則來自於開源代碼,在多數情況下,他們只是下載開源代碼並導入到其項目中,而不做必要的安全審計。
Sonatype 發現現在企業中的百分之八、九十的代碼都是由開源組件構成的,它們直接來自公開的代碼導入。

帶有已知安全漏洞的開源組件仍被廣泛使用帶有已知安全漏洞的開源組件仍被廣泛使用
由於這些安全缺陷都是公開的,而且 Sonatype 能夠訪問到其托管服務的服務器統計數據,相比其他人來說他們得到的數據會更多,因此他們警告開發者們要注意在他們的代碼中使用不安全的或過期的組件所帶來的風險。
這個警告對於公司來說更加嚴重,因為如果攻擊者對采用有缺陷的組件創建的應用進行攻擊,結果就可能導致更多的經濟損失。

更老的組件的缺陷率高達三倍

在分析了來自幾個不同行業的三千家機構的兩萬五千個以上的企業應用之後,Sonatype 發現平均每年每個企業都會下載大約五千個不同的組件。
組件越老,就越有可能包含安全缺陷。甚至更糟糕的是, 其中 97% 的下載的組件不能很方便的跟蹤和審計。而如果公司僅僅是要修復兩千個應用中的 10% 的安全漏洞,就大約需要 742 萬美金的巨額投入。
這些問題說明企業需要對軟件供應鏈進行管理,以避免將來出現的缺陷問題。花費在組件安全審計上的時間,將在該項目的以後出現安全漏洞後得到回報。
從這種托管的中央代碼倉庫中移除有缺陷的組件也應該成為這些項目背後的社區的最高優先級的工作。
軟件供應鏈報告中包含了當今軟件供應鏈的更多信息。

帶有已知安全漏洞的開源組件仍被廣泛使用帶有已知安全漏洞的開源組件仍被廣泛使用

原文來自:https://linux.cn/article-7594-1.html

轉載地址:http://www.linuxprobe.com/components-vulnerabilities.html


http://xxxxxx/Linuxjc/1155849.html TechArticle

Copyright © Linux教程網 All Rights Reserved