根据Endor Labs的报告显示,已知漏洞、合法软件包泄露和名称混淆攻击将成为2023年十大开源软件的风险之一。
根据该报告,其他主要的开源软件风险包括未维护的软件、过时的软件、未跟踪的依赖关系、许可证风险、未获批准的更改以及不足或过大的依赖关系。
现代应用程序中几乎80%的代码依赖于开源包,Endor Labs在其报告中表示,尽管开源软件是现代软件开发的基石,但它同样也是软件供应链中最薄弱的环节。
由于开源软件是按原样提供的,没有其他任何形式的保证,因此使用它的风险完全由用户自己承担。报告称,这使得选择、维护开源依赖关系成为了软件供应链安全中的重要环节。
Endor Labs的报告涵盖了和开源组件相关的操作、安全等问题,这些问题可能会导致系统受损、数据泄露,会破坏法规遵从性或妨碍可用性。该报告由20位业内专家撰写,包括HashiCorp、Adobe、Palo Alto Networks和Discord的CISO。
报告称,为了避免这种风险,组织需要在挂钩安装前后检查代码特性,检查项目特性,如源代码库、维护者帐户、发布频率、下游用户数量等。举个例子,比如Colourama攻击,这是对名为“Colorama”合法python包的拼写错误攻击,此举可以将比特币转移到攻击者所控制的账户里。
除了开源软件所包含的安全风险外,Endor Labs的报告还分析了它们可能带来的运营问题。报告称,未维护的软件、组件或组件版本不再积极开发,从而导致了功能和安全漏洞的补丁无法使用,这是开源软件所面临的最大的运营风险。
报告称,开发人员必须评估和比较SCA工具,以确定其生成准确的物料清单。
随着近年来开源的使用越来越多,其他网络安全公司也在强调其带来的风险。在应用程序安全公司Synopsys研究人员所检查过的商业、专有代码库中,至少有84%的代码被检测到漏洞。
原文始发于微信公众号(安在):2023年10大开源软件风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论