开源代码面临的安全和运营风险

发布时间：2023-03-06 14:19:08 所属栏目：安全来源：

导读：Endor Labs引进了OWASP风格的表格,列出了在使用开源软件 (OSS)中固有的最重要或影响最大的风险。

这里的问题是我们对我们使用的开源的来源知之甚少。它没有保证或 SLA；我们通常不知道这个开发工具的开发者；它可

Endor Labs引进了OWASP风格的表格,列出了在使用开源软件 (OSS)中固有的最重要或影响最大的风险。

这里的问题是我们对我们使用的开源的来源知之甚少。它没有保证或 SLA；我们通常不知道这个开发工具的开发者；它可以在我们不知情的情况下引入重大安全风险（想想Log4J）。

不出所料，当前排名第一的风险是“已知漏洞”。Endor 描述指出，组件版本可能包含易受攻击的代码，由其开发人员意外引入。漏洞详细信息已公开，例如通过 CVE。漏洞利用补丁可能可用也可能不可用。” 这里值得注意的是 Rapid7 的研究指出，56% 的 CVE 漏洞在公开披露后的 7 天内被利用。

合法的妥协，例如，攻击者可能会注入恶意代码以利用供应链攻击该代码的用户

名称混淆攻击，类似于基于 Web 的攻击中的拼写错误抢注

未维护的软件，其中的组件可能在不知不觉中不再得到维护或支持

过时的软件，即使可能有更新的版本，但仍在使用旧版本，

未跟踪的依赖项，可能是因为它不是上游 SBOM 的一部分

许可证和监管风险，例如，许可证可能与下游消费者的预期用途不相容

依赖性过小或过大，在后一种情况下，组件可能会提供很多功能，但只能使用其中的一小部分

当然，OSS 风险远不止十种。“如果情况发生变化，我们可能至少每年都会更新这份名单。几年，什么都不会改变；几年之后，”Badhwar 告诉SecurityWeek。

尽管 OSS 生态圈对许多正在使用的商业应用程序很重要，但它的脆弱性也值得考虑。Badwahr 指向 Core-JS。“Core-JS 是互联网的基石。选择任何互联网应用程序，你都可以确定它使用了 Core-JS。”

事实上，OSS 生态圈的可持续性取决于其贡献者的可持续性，而这与地缘政治的未来一样难以预测。Endor希望,列举的主要 OSS风险能帮助应用开发人员关注使用开源软件所带来的风险——包括突然没有人维护的软件。

（编辑：驾考网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!