應用安全公司Veracode和數據科學研究所Cyentia聯合編寫的最新軟件安全報告顯示,大多數開發者在軟件中包含第三方庫之后,從未更新過這些庫。報告的重點是關注開源軟件和開發者如何處理他們使用的第三方庫的安全性。
一份包含30萬多個獨特庫的超過86000個庫的分析報告以及與1700多名開發者的討論顯示,盡管開源領域在不斷變化,庫也在不斷發展,但79%的庫在被引入應用軟件后從未更新。
雖然有些開發人員在了解到他們使用的庫中的漏洞后會迅速采取行動——25%的漏洞在一周內就得到了解決——但有一半的安全漏洞在修復發布后的7個月內沒有得到修補。這是因為開發人員缺乏他們需要立即采取行動的重要信息。
Veracode指出:“當開發人員理解漏洞的含義并適當地優先考慮安全性時,他們可以輕松地修復大多數缺陷。”事實上,當開發人員獲得他們需要的信息時,一半的漏洞在三周內就得到了解決。
該報告還發現,第三方庫中的大多數漏洞(92%)可以通過一個更新進行修補,并且69%的更新代表較小的版本變動,不太可能破壞應用程序的功能。
超過一半的被調查開發者(52.5%)有正式的庫評估流程,28.4%的人說他們不確定(他們要么沒有正式的流程,要么沒有意識到并忽略了它),19.1%的人承認沒有這樣的流程。總的來說,超過80%的開發人員表示,他們在選擇使用庫的時候會考慮安全性。
Veracode指出:“在大型和不同的團隊中,開發、共享和遵循統一的政策可能是困難的,這可能會導致不確定性。”
對數以萬計的庫進行反復掃描發現,第一次掃描中出現的庫中有65.0%從未更新。此外,14%的庫是在第一次掃描后添加的,并且從未更新,總共有79%的庫被添加和遺忘。
當分析僅限于使用壽命相對較長的存儲庫和多次掃描時,結果相差不大:73%的庫從未更新過。該報告還顯示,Ruby庫被忽略的最多(67.1%),而PHP庫被維護的最多(只有37.7%的PHP庫被添加后又被忽略)。
報告揭示的另一個令人擔憂的事實是,大約一半包含漏洞的庫可能需要超過21個月的時間來更新,而大約25%的庫甚至在四年之后都沒有更新。
報告顯示,當第三方庫中的漏洞暴露時,一些開發人員會迅速采取行動。具體來說,17%的缺陷在一小時內得到修復,25%在一周內得到修復。然而,開發人員要花3個月的時間來修補50%的有漏洞的庫,而解決75%的漏洞則需要一年的時間。
對于直接依賴和繼承性依賴的庫,打補丁可能需要2.5倍的時間。這同樣適用于復雜的漏洞,例如任意代碼執行缺陷,這可能需要比典型問題花費兩倍的時間來修復。遠程代碼執行和拒絕服務bug也需要更長的時間來解決。
開源庫在不斷發展變化。這樣的安全狀況顯然形成了軟件供應鏈的重大風險。需要謹記的是,大量的庫選擇是“設置后忘記它”,開發人員找到他們需要的功能而不改變它。兩年前沒有缺陷的函數庫今天可能會暴露一個應用程序。
那么,如何面對這種變化的挑戰呢?該報告的結果表明,當開發人員得到他們需要的信息時,他們可以迅速采取行動來解決問題。它的幫助在于,大多數修復并不比一個小的軟件更新更費力,即使是最復雜的應用程序也不太可能破壞內部工作。
Veracode在報告發布消息中稱,確保軟件供應鏈的安全正引起白宮的注意。上個月,白宮發布了一項關于網絡安全的行政命令,其中近25%的內容關注于確保軟件供應鏈的安全。接下來,向聯邦政府銷售的軟件供應商將被要求公開其軟件的組成,并確保軟件應用程序已經過自動化測試。
Veracode的聯合創始人和首席技術官Chris Wysopal說:“隨著行政命令的不斷落實,任何軟件開發人員都應該確保他們在軟件開發生命周期的早期就經常掃描他們的軟件。開放源碼軟件的日益普及,加上越來越苛刻的開發周期,導致了軟件漏洞的高發傾向。在流程的早期進行掃描可以顯著降低風險,而且大多數修復都是微小改動,因此不會影響最復雜軟件的功能。”
延伸閱讀
今年6月初奇安信集團發布《2021年中國軟件供應鏈安全綜合分析報告》,全面從開源軟件生態發展狀況、開源軟件源代碼安全狀況、開源軟件公開報告漏洞狀況、開源軟件活躍度狀況等四個方面對2020年開源軟件生態發展與安全狀況進行綜合分析。報告顯示,1、每1000行代碼就有超過10個安全缺陷。2、超8成項目存在高危開源軟件漏洞。3、開源軟件活躍度狀況堪憂,61.6%的開源軟件處于不活躍狀態。4、18年前的老舊開源軟件版本仍在被使用卻無人更新。基礎薄弱、意識不足、開源漏洞風險、開源軟件運維風險、活躍度狀況,等等,軟件供應鏈的安全風險近在眼前。真是“藏在深山人未識,終有時日露崢嶸”。
關于Veracode
Veracode創立于2006年,是全球領先的獨立應用安全合作伙伴,旨在創建安全的軟件,降低安全漏洞風險,提高安全性和開發團隊的生產力。Veracode技術的公司可以通過將流程自動化、整合、速度和響應能力相結合,幫助各企業獲得準確可靠的結果,從而讓客戶將精力集中在修復而不僅僅是查找潛在的漏洞上。Veracode為全球各行各業的2,500家客戶提供服務,包括三分之一的財富100強和超過四分之一的福布斯最具價值品牌的企業。該公司在世界各地都設有辦事處。此外,還提供靈活的遠程工作選擇,以支持不斷壯大的全球服務團隊。
關于Cyentia
Cyentia Institute是一家研究數據科學的企業,其使命是增進網絡安全行業的知識,通過與供應商和其他組織合作發布一系列高質量的數據驅動內容來實現這一目標。該團隊利用多年的經驗來促進網絡安全知識和實踐。作為值得信賴的行業領導者,多年來致力于提高研究和可用信息的質量。該研究機構對研究方法學、強大的數據分析和溝通技巧以及豐富的網絡安全領域專業知識有著深刻的了解。
