Lineaje 报告显示开源软件漏洞增多

admin 2024年12月5日20:49:55评论1 views字数 1079阅读3分35秒阅读模式
Lineaje 报告显示开源软件漏洞增多

Lineaje 发布了一份报告,强调了全球软件供应链中的漏洞,重点关注开源组件的依赖性。

这份名为《跨越界限:打破信任》的报告由 Lineaje AI Labs 编写,分析了超过 700 万个开源软件包。报告显示,超过 95% 的安全漏洞源自开源软件包依赖项,其中很大一部分漏洞没有已知的修复方法。这一发现凸显了依赖此类软件的组织的一个关键问题。

根据报告,超过三分之一的开源贡献来自美国,其次是俄罗斯,占比 13%,加拿大、英国和中国的贡献比例也较小。这种分布带来了地缘政治风险,组织必须考虑这些风险,尤其是考虑到国家网络攻击事件的不断增加。

微软估计,其客户每天遭遇 6 亿次网络攻击,其中很大一部分是由国家攻击者造成的。随着软件在各种系统中发挥越来越重要的作用,代码源代码已成为国家和经济安全的关键。

在美国,20%的开源贡献是匿名的,是俄罗斯的两倍多、中国的三倍。在全球范围内,5-8%的开源组件来源可疑或被篡改,通常是匿名贡献的,存在隐藏恶意软件或后门的潜在风险。

地缘政治紧张局势使得将所有敌对国家排除在关键软件贡献之外成为一项艰巨的挑战。国防、水利、电力、银行和零售等行业因来自多个国家的贡献而面临重大的软件维护问题。

Lineaje 报告进一步强调,70% 的开源组件维护不善或无人维护,超过一半的漏洞没有已知的修复方法。令人惊讶的是,无人维护的组件比维护良好的组件更不容易受到攻击,后者变化更频繁,因此风险更大

开源项目通常包含多层依赖关系,使风险评估和补救工作变得复杂。超过 15% 的开源组件在单个应用程序中存在多个版本,这加剧了这些挑战。

编码语言的多样性也带来了风险。一个典型的中型应用程序可能涉及 139 种语言的 140 万行代码,这增加了存在风险的内存不安全语言的使用。

团队规模影响开源项目的风险水平,与中型团队相比,小型团队和大型团队提供的项目风险更高。成员少于 10 人的小型团队提供的项目风险高出 330%,而大型团队提供的项目风险高出 40% 以上。

Lineaje 首席执行官兼联合创始人 Javed Hasan 表示:“开源软件是一个复杂的依赖关系网络,源自世界各地,通常延伸 30 层甚至更多。Lineaje AI Labs 的最新研究证明,组织在了解其开源代码的真实组成及其来源方面完全是盲目的,这使他们面临严重风险。”

Broadcom 旗下 VMWare 产品安全总监 Manish Gaur 表示:“开源项目为全球企业家、政府机构和公司提供了改变行业的创新产品。然而,伟大的创新也伴随着更大的风险,但这并不意味着不值得冒这个险。”

原文始发于微信公众号(独眼情报):Lineaje 报告显示开源软件漏洞增多

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月5日20:49:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lineaje 报告显示开源软件漏洞增多https://cn-sec.com/archives/3470940.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息