??
您现在的位置:主页 > 科技前沿 >

开源漏洞困扰企业代码库系统「附报告」

发布日期:2021-06-23 13:55   来源:未知   阅读:

  漏洞仍然是企业中使用的开源系统的常见元素,其中就包含报道过导致Equifax数据泄露的漏洞。

  一份关于企业安全状况的新报告表明,由于使用了开源组件,大多数正在使用的代码库都包含已知的漏洞。

  在周二,Synopsys发布了Black Duck漏洞扫描软件,并在Synopsys2018年开源安全与风险分析(OSSRA)报告中指出,开源应用在企业中正在兴起 - 但安全控制措施并不一定符合这一速度。

  采用开源项目,软件和程序库已经成为企业的共同主题。 开源系统可为开发人员和企业节省大量时间和金钱,而且从技术到核心服务领域的众多知名厂商每天都会使用开源组件。

  然而,开源项目的本质意味着,随着开发人员无偿放弃时间,有时候,漏洞可能会蹿到网络中,并导致混乱进一步恶化,除非用户和员工知道其使用方式并定期维护安全检查。

  同一年,www.666607.com,Black Duck Software的研究人员通过对企业中1,000种常用应用程序的审计发现,96%的企业使用开源软件,60%以上包含由于这些组件造成的安全漏洞。

  这似乎没有什么变化。 这家总部位于马里兰州伯灵顿的公司最新研究表明,让Equifax痛心的是三分之一的企业代码库仍未修补这同一款漏洞。

  在对包括网络安全,汽车,医疗保健,制造和移动应用等行业公司所使用的1,100个商业数据库进行审计后发现,每个代码库的平均开源组件数量为257个,该数据在12个月内增长了75%。

  然而,由于开源组件的原因,所检查的代码库78%的比例中包含至少一个安全漏洞,平均每个代码库发现64个漏洞。代码库中发现的许多安全缺陷早在六年前就已公开披露过。

  据研究人员称,发现的漏洞中有54%是严重问题,17%包含众所周知的漏洞,如Heartbleed,Logjam,Freak,Drown或Poodle。

  总共有8%的数据库使用Apache Struts,其中33%的代码库包含漏洞(CVE-2017-5638),香港六合挂牌。这显然是Equifax违规造成的问题。

  也许具有讽刺意味的是,IT和软件基础设施行业以及网络安全系统中使用的代码库中存在的漏洞最多,分别为67%和41%。香港六会彩现场开奖结果直播

  “由于现代软件和基础设施在很大程度上依赖于开源技术,对使用组件有清晰的认知是公司治理的关键部分,”Synopsys的Black Duck技术推广人员Tim Mackey说。 “随着开源应用的增长,企业需要确保他们有工具来检测开源组件中的漏洞,并管理他们使用开源可能需要的任何许可证合规性。”

  武楠,就职于华讯网络顾问工程师,主攻方向云计算及网络。返回搜狐,查看更多

体育新闻 | 金融新闻 | 女性生活 | 社会文化 | 科技前沿 | 健康新闻 | 娱乐新闻 | 热透新闻 | 社会新闻 | 教育新闻 |

Power by DedeCms