84% 的代码库至少包含一个已知的开源漏洞


应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。

2023 OSSRA 报告基于对并购交易中涉及的代码库的审计分析,共涉及 17 个行业审计检查了 1481 个代码库的漏洞和开源许可合规性,另外 222 个代码库则仅针对合规性进行了分析;调查结果深入探讨了商业软件中开源安全、合规、许可和代码质量风险的现状。

其中,航空航天、航空、汽车、运输、物流,教育科技和物联网 (IoT) 三个领域的代码库中,均包含部分开源代码;物联网领域开源代码占总代码的 89%。其余的垂直行业,也有超过 92% 的代码库是开源的。在审计的 1703 个代码库中,共有 96% 包含开源代码。

一些主要发现包括:

  • 五年间开源使用显着增长:全球大流行促进了教育技术部门对开源的采用,实现 163% 增长。其他经历开源增长大幅飙升的行业包括航空航天、航空、汽车、运输和物流行业,增长了 97%;制造业和机器人技术领域增长了 74%。
  • 过去五年的高危漏洞也以惊人的速度增长: 自 2019 年以来,OSSRA 中所有 17 个行业的高危漏洞至少增加了 42%。其中,零售和电子商务领域的高危漏洞激增了 557%。相比之下,物联网领域同期的高危漏洞增加了 130%;航空航天、航空、汽车、运输和物流垂直领域的高危漏洞增加了 232%;计算机硬件和半导体行业的增幅也高达 317%。

  • 与使用许可组件相比,使用没有许可的开源组件会使组织面临更大的违反版权法的风险: 报告发现,31% 的代码库使用没有可识别许可或定制许可的开源;相较去年的 OSSRA 报告增加了 55%。
  • 可用的代码质量和安全补丁并未应用于大多数代码库:在包含风险评估的 1480 个经过审计的代码库中,有 91% 包含开源组件的过时版本。这意味着更新或补丁可用但尚未应用。

此外,Log4J 漏洞仍然存在。在全部的代码库中,有 5% 的代码库中发现了易受攻击的 Log4J 版本;审计的 Java 代码库中,也有 11% 发现了易受攻击的 Log4J 版本。

报告建议,为避免漏洞利用并保持开源代码更新,组织应使用软件物料清单 (SBOM)“在今年的审计中,开源组件的平均数量增加了 13%(从 528 个增加到 595 个),进一步强调了实施全面的 SBOM 的重要性;全面的 SBOM 列出了应用程序中的所有开源组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来了解和降低业务风险的基本策略”。且开源组件的 SBOM 允许组织快速查明有风险的组件,并适当地确定修复的优先级。

下载完整报告。


相關推薦

2023-03-22

别 OSS-RISK-1 已知漏洞 组件版本可能包含易受攻击的代码,由其开发人员意外引入。漏洞详细信息已公开,例如通过 CVE。漏洞和补丁可能可用也可能不可用。 Security OSS-RISK-2 合法包的妥协 攻击者可能会破坏作为现有

2022-09-08

能够了解可能影响其项目的已知漏洞。govulncheck 通过分析代码库,并仅根据代码中的哪些函数传递调用易受攻击的函数来发现实际影响的漏洞。要开始使用 govulncheck,先运行以下命令: $ go install golang.org/x/vuln/cmd/govulncheck@latest

2023-10-07

67%的公司表示,他们确信自己的系统中没有来自漏洞库的代码,但今年有10%的公司因漏洞组件而遭遇安全漏洞。39% 的公司可以在 1 到 7 天的时间内发现漏洞,29% 的公司需要一周以上的时间,28% 的公司只需要不到一天的时间

2023-10-27

或基础架构中使用了 Java。其中 57% 的受访者表示,他们至少 60% 的应用程序是基于 Java 的;有 66% 的公司为 Java 支持付费。 2018 年 9 月发布的 Java 11 和 2020 年 9 月发布的 Java 17 是使用最广泛的 Java 版本,使用率分别为 48% 和 4

2023-04-09

d 2023.1 正式发布,新版本引入了漏洞检查器和更好的 gRPC 代码导航,并使重命名重构可用于接收器。 开发者现在可以用非标准库包运行 Scratch 文件,使用正则表达式来创建你自己的搜索和替换检查,并快速地将原始字符串文字

2022-05-26

器中的工作流程的改进。 首先,将不再有无样式的单色代码块。用户可以在代码块上方的下拉列表中从 100 多种语言中进行选择,以便 CSS、YAML 和 Python 代码彼此分离,并具有准确的语法高亮显示。 在 WYSIWYG 编辑器中编辑链接

2023-08-07

继日前宣布完成 2000 万美元的 A 轮融资后,开源代码扫描工具 Socket 紧接着宣布新增了对 Go 语言的支持;此前其仅支持 JavaScript 和 Python 语言。 “在过去的几个月中,我们观察到针对 Golang 的供应链攻击有所增加。意识到这种迫

2023-10-09

漏洞在两周前修补过。【VMware Aria Operations for Networks 远程代码执行漏洞(CVE-2... - FreeBuf网络安全行业门户】 4. 新的AtlasCross黑客冒充美国红十字会发送网络钓鱼诱饵 “AtlasCross”新黑客组织冒充美国红十字会,针对有网络钓鱼诱

2022-09-23

tarfile.extract() 函数或 tarfile.extractall() 的内置默认值的代码中。 该漏洞已有 15 年的历史,自 2007 年 8 月首次报告以来,其相关的技术细节也一直存在可用。但目前却从未收到过任何补丁,唯一提供的缓解措施是警告开发人员

2022-08-29

由未知实现的系统(Google 将其称之为 “黑盒子”,其源代码无法被检查)生成的制品。 一个制品可能是由黑盒子生成的,它不是由我们自己的工具(如 Tink)生成的,也不是由我们可以使用 Wycheproof 检查和测试的库生成的。

2023-02-17

CVE-2023-20032:修复了 HFS+ 文件解析器中可能存在的远程代码执行漏洞。该问题影响版本 1.0.0 及更早版本、0.105.1 及更早版本以及 0.103.7 及更早版本。感谢 Simon Scannell 报告此问题。 CVE-2023-20052:修复了 DMG 文件解析器中可能

2022-12-06

作为 C/C++ 的替代方案,他们的目标并不是把现有的 C/C++ 代码都转换成为 Rust,而是在新编写的代码中使用 Rust 语言开发。 通过将越来越多的 Rust 代码集成到其 Android 操作系统中,Google 在减少漏洞方面的努力最终是获得了回报

2022-08-16

攻击者可以作为受害者角色(可能是超级用户)运行任意代码。已知受影响的扩展包括 PostgreSQL 捆绑和非捆绑扩展。PostgreSQL 在核心服务器中阻止了这种攻击,因此无需修改单个扩展。 关于 PostgreSQL 15 Beta 的说明 此版本标志着

2022-06-15

IPFire 是一个开源 Linux 发行版,主要用于路由器和防火墙;具有一个独立的防火墙系统,带有基于 Web 的管理控制台进行配置,它支持安装附加组件以添加更多服务。 IPFire 2.27 Core 168 正式发布,它对入侵防御系统(IPS)进行了重