很多企業都選擇使用開源軟體(OSS)構建更加靈活的產品,但其中也存在潛在的風險,軟體供應商和IoT制造商都有必要去了解一下隱藏在軟體供應鏈中的風險,
已知風險
例如,犯罪分子就完全可以利用Apache Struts CVE-2017-5638漏洞來獲取Equifax客戶的個人資料,眾所周知,Apache Struts是一種廣泛使用的開源組件 – Web服務器的框架,它可以用于接收和提供公司內部系統中的商業資料,歸根到底,還是因為這個開源組件所存在的漏洞以致于使其成為網路攻擊的主要目標,
主要發現
根據Flexera的一份最新報告顯示,在商業和IoT軟體產品中所發現的代碼有百分之五十都是與開源軟體有關的,但調查顯示只有37%的受訪者表示曾獲取并使用開源軟體,而63%的公司說,他們并沒有獲取或使用開源軟體,或者說他們根本就不知道有這種情況的存在,
并且據了解,目前基本沒有人對開源軟體的安全性負責:39%的受訪者表示,在他們公司內部沒有人會對開源軟體的安全性負責,或者可以說他們壓根就不知道應該是由誰來負責,
除此之外,開源軟體的貢獻者也不是遵循最佳實踐:33%的受訪者表示自己的公司曾為開源專案做出了貢獻,但是,又有63%的受訪者表示他們的公司壓根并沒有開源采購或使用政策,當然也有43%的受訪者表示自己本身對開源專案也有做出貢獻,
不管怎樣,我們都不能忽視開源確實是一個明顯的捷徑, Flexera產品管理副總裁Jeff Luszcz表示:“完全開源可獲取的代碼可以快速獲得產品,這對于軟體開發的快速節奏來說非常重要,” “然而,大多數軟體工程師并沒有在私下里去跟蹤開源的使用情況,而且有絕大部分的軟體高管都沒有意識到其安全/合規風險方面存在一定差距,”
事實上,對于開源軟體使用程序中的安全合規、許可等流程可能遠比簡單的拿來用要方便的多,但這些流程毫無疑問是必不可少的,
“開源軟體的安全合規流程能夠很好的保護產品和品牌聲譽,但大多數軟體和IoT廠商都沒有意識到存在的問題,所以他們并沒有保護自己和戶,”Luszcz說,“對于暴露產品合規性和漏洞風險的供應商,還有那些壓根就不知道他們運行開放源代碼和其他第三方軟體的客戶,甚至可能是包含軟體漏洞的客戶 ,這些都是會危及到整個軟體供應鏈,”
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/260318.html
標籤:其他