近日 Sonatype 發(fā)布了“2018年開(kāi)源安全與風(fēng)險(xiǎn)分析”報(bào)告，該報(bào)告顯示開(kāi)源應(yīng)用有大幅增長(zhǎng)，在檢測(cè)的應(yīng)用中有96％包含開(kāi)源組件，同時(shí)包含漏洞的軟件數(shù)量也在不斷增加。隨著開(kāi)源產(chǎn)業(yè)不斷發(fā)展，目前軟件安全問(wèn)題亟需得到關(guān)注。

報(bào)告顯示，在每個(gè)行業(yè)的應(yīng)用程序中都發(fā)現(xiàn)了存在漏洞的開(kāi)源組件，其中互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu)以67％的比例，在包含高危漏洞應(yīng)用的行業(yè)排行中居***位。而諷刺的是，網(wǎng)絡(luò)安全行業(yè)中竟然有41％的應(yīng)用程序被發(fā)現(xiàn)存在高危漏洞，在排行中位居第四。審計(jì)代碼庫(kù)中超過(guò)54％的漏洞是高危級(jí)別的，其中17％的代碼庫(kù)包含 Heartbleed、Logjam、Freak、Drown 與 Poodle 等知名漏洞。

“根據(jù)我們的研究，我們知道即使是世界上***、最成功的公司也會(huì)構(gòu)建出不安全的代碼，例如，財(cái)富全球100強(qiáng)中有57％下載了 Apache Struts 已知帶有漏洞的版本進(jìn)行開(kāi)發(fā)。“Sonatype 副總裁 Derek Weeks 說(shuō)。由于開(kāi)源軟件的普遍使用，一旦軟件存在漏洞，那么采用該開(kāi)源軟件的產(chǎn)品也將變得危險(xiǎn)，報(bào)告中也清楚地表明，就像使用含有漏洞的 Struts 的例子，各組織正在不斷往其代碼庫(kù)中積累越來(lái)越多的漏洞。

Weeks 繼續(xù)說(shuō)到：“我們從未如此依靠免費(fèi)開(kāi)源組件來(lái)加速開(kāi)發(fā)。但是我們需要關(guān)注到采用開(kāi)源軟件時(shí)的安全問(wèn)題，不能一味求效率。“