2023年十大开源软件风险

现代软件几乎80%[小]的代码都是开源代码[谦]，开源软件已经成为[娱]现代软件开发的基石[乐]，但同时也是软件供[网]应链中最薄弱的环节[内]。

根据应用安全公司Synopsys的调研，84%的商业和专有代码库中至少检测到一个已知的开源漏洞，其中48%属于高风险漏洞，包括已被积极利用的远程代码执行漏洞。

根据Endor Labs最新发布的报告，当前企业主要面临以下十大开源安全风险：

1. 已知漏洞

2. 合法开源软件包泄漏

3. 名称混淆攻击

4. 缺乏维护的软件

5. 过时的软件

6. 未跟踪的依赖项

7. 许可证风险

8. 不成熟的软件

9. 未经批准的变更

10. 依赖项不足/过多

    三大开源安全风险

    已知漏洞在十大开源风险榜单中排名第一。Endor Labs报告称，如果软件中的已知漏洞被攻击者利用，可能会危及相应系统或其数据的机密性、完整性或可用性。

    近年来影响最大的一些已知漏洞包括导致Equifax数据泄露的Apache Struts中的CVE-2017-5638漏洞和Apache Log4j（也称为Log4Shell）中的CVE-2021-44228漏洞。

    为避免已知漏洞的风[容]险，报告建议企业定[保]期扫描开源软件，对[护]漏洞进行优先级排序[小]并优化资源分配。

    合法开源软件包泄露是开源软件的第二大风险。攻击者可能会入侵合法开源项目或代码分发渠道资源，将恶意代码注入组件。例如，劫持合法项目维护者的帐户或利用包存储库中的漏洞。SolarWinds网络攻击就是一个典型的入侵合法软件包的案例。

    第三大开源软件风险是名称混淆攻击。攻击者创建名称类似于合法开源或系统组件名称的组件，冒充值得信赖的开发者（品牌劫持）或使用不同语言或生态系统中的通用命名模式。

    为避免名称混淆攻击[谦]风险，企业需要检查[娱]安装hooks前后[乐]的代码特征以及项目[网]特征，如源代码存储[内]库、维护者帐户、发[容]布频率、下游用户数[保]量等。此类风险的一[护]个例子是Colou[小]rama攻击，这是[谦]对名为“Color[娱]ama”的合法Py[乐]thon包的域名仿[网]冒攻击，可将比特币[内]转账重定向到攻击者[容]控制的钱包。

    三大运营风险

    除了开源软件本身包[保]含的重大安全风险外[护]，报告还分析了开源[小]软件风险可能带来的[谦]主要运营风险。

    缺乏维护的，或不再积极开发或更新的开源组件版本会导致安全漏洞缺少补丁，这是开源软件带来的最大运营风险。补丁开发工作将不得不由下游开发人员自己完成，从而导致工作量增加和解决时间更长。在补丁开发期间，系统将（长期）处于暴露状态。

    过时的软件（不要与无人维护的软件混淆）是开源软件的第二大运营大风险。所谓过时软件指的是一个软件项目使用了旧的开源组件版本，而不是最新的版本。

    如果项目使用的开源[娱]组件版本远远落后最[乐]新版本，那么在紧急[网]情况下很难及时更新[内]。旧版本也很难获得[容]与最新版本相同级别[保]的安全评估。

    此外，如果新版本在[护]句法或语义上与当前[小]使用的旧版本不兼容[谦]，开发人员可能还需[娱]要进行大量更新或迁[乐]移工作来解决不兼容[网]问题。

    开源软件的第三大运营风险是未跟踪的依赖项，即开发人员完全未意识到的开源组件依赖项。这可能是因为该组件没有记录在上游组件的软件物料清单（SBOM）中，软件成分分析(SCA)工具压根没有检测到，或者因为该依赖项不是使用包管理器创建的。因此，开发人员在选择SCA工具时需要评估和比较其生成准确物料清单的能力。

文章来源：GoUpSec

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删[内]文

END

【本页内容来源于互联网或网友投稿，可用性与真实性请自行辨别】