現在企業都采用托管式的中央組件倉庫來存儲他們的代碼。這些代碼中有一些來自私有項目,而更多的則來自於開源代碼,在多數情況下,他們只是下載開源代碼並導入到其項目中,而不做必要的安全審計。
Sonatype 發現現在企業中的百分之八、九十的代碼都是由開源組件構成的,它們直接來自公開的代碼導入。
由於這些安全缺陷都是公開的,而且 Sonatype 能夠訪問到其托管服務的服務器統計數據,相比其他人來說他們得到的數據會更多,因此他們警告開發者們要注意在他們的代碼中使用不安全的或過期的組件所帶來的風險。
這個警告對於公司來說更加嚴重,因為如果攻擊者對采用有缺陷的組件創建的應用進行攻擊,結果就可能導致更多的經濟損失。
在分析了來自幾個不同行業的三千家機構的兩萬五千個以上的企業應用之後,Sonatype 發現平均每年每個企業都會下載大約五千個不同的組件。
組件越老,就越有可能包含安全缺陷。甚至更糟糕的是, 其中 97% 的下載的組件不能很方便的跟蹤和審計。而如果公司僅僅是要修復兩千個應用中的 10% 的安全漏洞,就大約需要 742 萬美金的巨額投入。
這些問題說明企業需要對軟件供應鏈進行管理,以避免將來出現的缺陷問題。花費在組件安全審計上的時間,將在該項目的以後出現安全漏洞後得到回報。
從這種托管的中央代碼倉庫中移除有缺陷的組件也應該成為這些項目背後的社區的最高優先級的工作。
軟件供應鏈報告中包含了當今軟件供應鏈的更多信息。
原文來自:https://linux.cn/article-7594-1.html
轉載地址:http://www.linuxprobe.com/components-vulnerabilities.html
http://xxxxxx/Linuxjc/1155849.html TechArticle