乐趣区

关于开源:2021-年软件安全报告代码开源福祸相依

近期,一份来自平安测试公司的报告显示,开源畛域的利用平安状况整体有所恶化,但仍然存在问题,包含开源代码的破绽被利用,以及第三方代码库自身的危险。

上述发现出自 Veracode 公布的《软件平安报告(第 12 版)》,报告中所应用的数百万不同类型的数据来自 Veracode 的服务端和客户端,并对这些数据进行了动态剖析、动态分析、软件组成剖析和浸透测试。

一、开源代码缺点更少,破绽修复更快

报告称:「开源库依然是一个令人担忧的平安因素」,这是一个长期存在,并继续至今的隐患,起因就在于开发者们的不良习惯。

大量开发者年复一年地应用同一个代码库,事实和教训证实,这会导致咱们年复一年地遇到同样的安全漏洞

尽管如此,报告依然认为,第三方开源代码库有不少长处,存在的缺点更少,且问题能失去更快的解决:

好的一面是,第三方代码造成的安全漏洞,在修复的及时性上有显著改善。在 2017 年,一个安全漏洞从被发现,到 50 % 的缺点被解决的修复点,须要三年多的工夫,当初只须要一年左右。

除此之外,报告还钻研了安全漏洞的修复过程,并瞻望了平安利用的将来:「总体来说,利用平安状况有所恶化,破绽的影响范畴整体也在降落。」

同时,Veracode 也指出,代码之间更加严密的连贯,和散布式微服务的衰亡,使得利用安全性变得更简单了:

「造成这一状况的起因,除了代码之间更严密的关联,还有竞争加剧和不断创新带来的影响」。为了加快进度,很多开发团队转向云原生技术、微服务架构和代码开源来优化他们的工作流。此外,越来越多的开发团队采纳麻利开发,并在开发过程中尽可能多地应用自动化。

尽管这种演变缩短了软件开发生命周期,但同时也带来了新的复杂性和危险。

二、越来越多人应用平安扫描

报告中,有一些数据值得咱们关注:

  • 微服务:在 2018 年,大概有 20% 的利用蕴含多种语言。现在,只有不到 5% 的利用应用多种语言,更多的是小型的、单语言的利用或微服务。
  • 应用平安扫描的利用数量减少了两倍:均匀每季度扫描超过 17 个新应用程序,这个数字是十年的三倍多。
  • 更多组织应用多种类型的平安扫描:在 2018 至 2021 年期间,应用多种扫描类型的用户减少了 31%,其中大部分增长来自应用全套动态、动静和 SCA 扫描的组织。
  • 大多数开发人员年复一年地保持应用雷同的代码库:开发人员保持应用久经考验的库,很少违心尝试抉择「最酷」或「最受欢迎」的库来重构他们的代码库。‍

三、麻利开发「吞噬」世界

基于数据,Veracode 得出四个论断:

  1. 小型、模块化的麻利开发曾经「吞噬」世界。应用平安扫描的利用数量呈爆炸式增长;开发人员从每季度一次扫描他们的利用转变为每天一次,并采纳更多不同的扫描技术。
  2. 收费和开源代码将持续成为开发者的福音与隐患。第三方代码库的应用趋势并未产生巨大变化,有显著缺点的代码库被更少的应用,这是十分踊跃的。
  3. 利用在迟缓朝更平安的方向倒退。这是整个剖析过程中最令人振奋的。尽管随着工夫的推移,某些安全漏洞的风行率有所增加,但趋势总体是降落的。因为破绽修复的能力和速度并不是必然减少,所以心愿这种趋势能继续上来,将来也将持续放弃光明。
  4. 新的扫描工具的呈现将持续改善利用平安环境。应用不同类型的平安扫描意味着开发者将更快、更残缺地修复所有类型的缺点。而将这些不同类型的扫描工具内置到集成管道和 IDE 中,会减速开发者的应用。‍

四、小结

在报告最初,Veracode 总结道:

安全漏洞像账单一样,随着时间推移而一直累积,尽早解决,就能加重将来的工作量。应用多种类型的平安扫描——动态、动静或软件组合分析,能够更全面地理解利用的安全性,并有助于更快、更彻底地进行解决平安问题。■

英文链接:App Security Report: Open Source Code Still ‘Blessing and a Curse’ — Virtualization Review

腾源会是腾讯云成立的汇聚开源我的项目、开源爱好者、开源领导者的凋谢社区,致力于帮忙开源我的项目健康成长、开源爱好者能交换帮助、开源领导者能施展首领价值,让寰球开源生态变得更加凋敝。微信公众号搜寻「腾源会」,第一工夫获取开源资讯与洞察。

退出移动版