2019,企業使用開源的新時代
責編:gltian |2019-02-18 14:38:49越來越多的開源庫正在被創建,這些開源庫的傳播越來越快,而且分布在越來越小的部分中。
開源代碼正在呈爆炸式增長,Veracode歐洲、中東及非洲(EMEA)和泛太平洋亞洲及日本(APJ)主管Paul Farrington寫道。
每一個企業都在使用開源組件來構建自己的軟件產品和服務。當一個軟件以開源軟件的形式發布時,意味著原作者愿意將源代碼免費提供給技術社區進行學習和改進。
這是因為在這些項目上的大量合作,能夠帶來一些技術上的巨大進步。同時,開源能夠使一些無法承擔授權費的個人,更容易使用這些軟件。
使用開源代碼加快了開發周期,并減少了相關成本。但是這一優勢也帶來了一些風險——開源代碼無法得到像內部開發的軟件一樣嚴格的審查。當識別出一個漏洞時,在所有應用程序中精確定位具有風險的組件將會非常困難,并且成本很高。
開源影響軟件供應鏈
現在存在500萬個開源庫,但是其增長速度是呈指數級的——我們將會看到在未來十年里,數百萬開發人員將發布多達5億的開源庫。這一趨勢給那些在其應用中使用開源代碼的企業增加了威脅,因為開源在提高效率的同時,開發人員使用的組件也繼承了原來的漏洞。
僅確保自己的開發人員了解如何進行安全開發和源碼掃描是不夠的 。這將會給你的安全工作帶來一個巨大的漏洞。
你還需要考慮到開發人員在其代碼中使用的開源庫。例如,現在很多應用程序的安全環境是圍繞公共漏洞披露(CVEs)構建的。但是公共漏洞內容創建在DevOps出現之前,也在開源代碼呈爆炸式增長之前。現在,等待一個漏洞出現在公共列表中是完全不可行的。
好消息是,使用有漏洞的庫并不一定會使你受到攻擊。明確開源軟件是否含有漏洞不是最重要的,關鍵在于其中的漏洞是否容易被利用。確定優先級是確保開源安全的關鍵。
很多情況下,開發人員使用開源庫時,只會使用一小部分——一個方法或者功能。所以即使這個開源庫被標記為易受攻擊,你的數據中可能沒有使用易受攻擊的部分,或者你使用的方法或者功能不易受到攻擊。
那些能夠有效管理軟件供應鏈的組織機構,擁有其他企業沒有的競爭優勢。一個管理良好的軟件供應鏈——能夠通過定期掃描,并根據組件風險等級確定修復的優先級,保持其供應鏈的安全性,從而保證組織機構的安全。
開源安全趨勢
易受攻擊的開源組件在很多軟件中泛濫。此外,Veracode研究發現,一旦企業發現漏洞,開源軟件是修復速度最慢的對象之一——平均需要企業花費93天來修復前25%的開源漏洞。而這只是為什么開源安全會成為一個突出問題的快照。
同時,黑客的觀念也在發生變化。開源數量的激增,改變了攻擊者網絡犯罪經濟學。他們可以發動一次能夠造成很多攻擊的行動,而不是去攻擊每一個應用。所以不僅有越來越多的開源庫,正在成為網絡犯罪的目標,攻擊者已經開始創建惡意開源代碼,而組織機構不知不覺間將這些代碼納入其代碼庫中。勒索軟件是其中比較常見的威脅之一。
云使用的增加,也從根本上改變了我們對安全的思考方式。隨著云應用和漏洞掃描需求的增加,企業需要快速發展。商業創新速度的加快,加劇了這一需求。沒有一定的云規模,幾乎不可能跟上數字經濟的發展。
我們也看到重點開始轉移到了自動化和持續交付,通過這些方法能夠使企業將安全整合到開發人員的工作流程中。盡管現在有OWASP(開放式Web應用程序安全項目),PCI(外設組件互連標準),CISQ(軟件質量標準化聯盟),NIST(美國國家標準與技術研究院)和FS-ISAC(美國金融服務信息共享和分析中心)等行業基準,要求有明確的策略和控制來管理組件的使用,但是很多企業很難有效的執行這些策略。
開源合作將在2019年蓬勃發展
開源軟件的生產和消費趨勢都在發生變化。就消費方面來說,以后將會很難找到一個在構建其產品和服務時,不使用開源代碼的企業。
越來越多的開源庫正在被創建,這些開源庫的傳播越來越快,而且分布在越來越小的部分中。開源數量和速度上的快速增長,意味著能夠快速并頻繁對應用程序進行安全評估變得至關重要。
與此同時,應用程序開發的速度正在穩步提高,這意味著任何阻礙或者打斷開發人員工作流程的安全檢查都不會是有效的方法。如今保證應用程序的安全工作,需要能夠無摩擦并容易的進行,這很大程度上意味著需要實行自動化。我們將需要強大的自動化和機器學習,為開發人員識別,追蹤和指出漏洞。
開發團隊和安全團隊的合作,將會促進發展,并能夠對開源組件的安全性進行必要的審查。