2022 開源軟體安全狀況報告:超 41% 的企業對開源安全沒有足夠的信心

語言: CN / TW / HK

根據上週剛剛釋出的兩項研究顯示,開源軟體早已成為大多數應用程式的中堅力量,但它同時也為開發人員和安全團隊帶來了安全挑戰,而這些挑戰可以通過採用“安全左移”的方式解決。

開發者安全公司 Snyk 和 Linux 基金會的研究人員在他們的《2022 開源安全狀況》報告中透露, 超過41%的組織對他們的開源安全沒有足夠的信心。 報告中也表明在過去的三年中修復開源專案中的安全漏洞所需的時間一直在穩步增加,從2018年的49天到2021年的110天,增加了一倍以上。

開源之爭:要高產還是注重安全?

一個基於 550 位受訪者的調查顯示, 一個應用程式的開發專案中平均會有49個漏洞和80個呼叫開原始碼的直接依賴項。 而且,該報告還發現只有不到一半的企業(49%)會對開源軟體的開發或者使用採取安全策略。更糟糕的是,在大中型企業中這個比例只有27%。

“今天的軟體開發商有他們自己的供應鏈,”Synk 開發者關係總監 Matt Jarvis 在一份宣告中解釋說,“與組裝汽車零件類似,他們將現有的開源元件與他們自己的程式碼通過打補丁的方式組裝起來。雖然提升了生產力,加快了創新,但也造成了重大的安全問題”。

安全左移能更早地暴露漏洞

AppSec 左移進展報告表明,通過將安全向“左”移或更接近軟體開發生命週期的起點,可以實現更好的開源軟體安全性。該報告基於使用者對 ShiftLeft 核心產品的體驗,發現76%的新漏洞可以在兩個 Sprint 週期內得到修復。

漏洞之所以能夠快速修復的其中一個原因是它們在早期就已經被發現。“每個開發人員在程式碼中的更改都會在90秒之內掃描完成,”ShiftLeft CEO 和聯合創始人 Manish Gupta 提到,“因為程式碼在開發人員腦海中仍歷歷在目,所以他們更容易修復漏洞。”

該報告承認掃描時間的縮短並不僅僅因為其軟體得到了改善。“我們瞭解到應用程式的平均程式碼行數減少了”報告指出,“這與更多的組織轉向微服務和更小、更模組化的應用程式的現狀一致。”

增加對漏洞的掃描減少修復時間

ShiftLeft 的客戶還發現,他們需要在自己應用程式中解決的開源軟體漏洞數量下降了97%,因為對手只能利用其中 3% 的漏洞。Gupta 指出,在分析開源軟體漏洞時,重要的不是應用程式有多少漏洞,而是它們在哪裡會被壞人利用。

ShiftLeft還報告說,其客戶將解決漏洞所需的平均時間降低了37%,從2021年的19天下降到2022年的12天。報告中將這種下降歸因於開發人員和安全團隊在開發過程的早期進行更多的掃描。“我們的一些客戶每月進行多達30,000次的掃描。” Gupta 提到。

是否每個漏洞都會被利用?

報告中還提出了一個問題:“攻擊者是否真的可以觸及到每個漏洞?”。這在處理 Log4j 這樣的 0-Day 漏洞時非常重要,一些組織在2021年12月發現 Log4j 的幾個月後仍在應對這一漏洞。報告中提到,在其客戶的應用程式中使用的96%的 Log4j 沒有被攻擊的風險。

補救不可利用的漏洞對風險的影響為零,因此企業應該降低此類漏洞的修復優先順序,把注意力放在其他方面。