導語
雖然開源軟件(OSS)可以幫助軟件供應商去更靈活的構建產品,但我們仍然認為軟件供應商和IoT製造商都有必要去了解一下隱藏在軟件供應鏈中的風險。
已知風險
例如,犯罪分子就完全可以利用Apache Struts CVE-2017-5638漏洞來獲取Equifax客戶的個人資料。眾所周知,Apache Struts是一種廣泛使用的開源組件 – Web服務器的框架,它可以用於接收和提供公司內部系統中的商業數據。歸根到底,還是因為這個開源組件所存在的漏洞以致於使其成為網絡攻擊的主要目標。
主要發現
根據Flexera的一份最新報告顯示,在商業和IoT軟件產品中所發現的代碼有百分之五十都是與開源軟件有關的。但調查顯示只有37%的受訪者表示曾獲取並使用開源軟件。而63%的公司說,他們並沒有獲取或使用開源軟件,或者說他們根本就不知道有這種情況的存在。
並且據瞭解,目前基本沒有人對開源軟件的安全性負責:39%的受訪者表示,在他們公司內部沒有人會對開源軟件的安全性負責,或者可以說他們壓根就不知道應該是由誰來負責。
除此之外,開源軟件的貢獻者也不是遵循最佳實踐:33%的受訪者表示自己的公司曾為開源項目做出了貢獻。但是,又有63%的受訪者表示他們的公司壓根並沒有開源採購或使用政策,當然也有43%的受訪者表示自己本身對開源項目也有做出貢獻。
不管怎樣,我們都不能忽視開源確實是一個明顯的捷徑。 Flexera產品管理副總裁Jeff Luszcz表示:
“完全開源可獲取的代碼可以快速獲得產品,這對於軟件開發的快速節奏來說非常重要。” “然而,大多數軟件工程師並沒有在私下裡去跟蹤開源的使用情況,而且有絕大部分的軟件高管都沒有意識到其安全/合規風險方面存在一定差距。”
事實上,對於開源軟件使用過程中的安全合規、許可等流程可能遠比簡單的拿來用要方便的多,但這些流程毫無疑問是必不可少的。
“開源軟件的安全合規流程能夠很好的保護產品和品牌聲譽。但大多數軟件和IoT廠商都沒有意識到存在的問題,所以他們並沒有保護自己和客戶,”Luszcz說,“對於暴露產品合規性和漏洞風險的供應商,還有那些壓根就不知道他們運行開放源代碼和其他第三方軟件的客戶,甚至可能是包含軟件漏洞的客戶 ,這些都是會危及到整個軟件供應鏈。”
關注康眾智防微信公眾號(微信搜索“康眾智防”或“kznsdi”),看更多網絡安全資訊。
閱讀更多 網絡安全焦點 的文章