漏洞仍然是可以預(yù)防的
幾乎所有(96%)的漏洞仍然是可以避免的。2023年本可以避免21億次具有已知漏洞的OSS下載,因?yàn)橛辛烁玫男迯?fù)版本——與2022年的百分比完全相同。對(duì)于每一次非優(yōu)化組件升級(jí),通常都有10個(gè)高級(jí)版本可用。
只有11%的開(kāi)放源碼項(xiàng)目得到“積極維護(hù)”。Sonatype分析了四個(gè)主要生態(tài)系統(tǒng)的1176407個(gè)開(kāi)源項(xiàng)目。這一發(fā)現(xiàn)表明,在跟蹤依賴關(guān)系隨時(shí)間推移的健康狀況時(shí),消費(fèi)者保持持續(xù)警惕的重要性。
次優(yōu)的開(kāi)源消費(fèi)習(xí)慣是開(kāi)源風(fēng)險(xiǎn)的根本原因,這與公眾經(jīng)常將安全風(fēng)險(xiǎn)與開(kāi)源維護(hù)者聯(lián)系在一起的言論相反。平均而言,維護(hù)人員會(huì)及時(shí)處理和解決問(wèn)題。
Sonatype的首席技術(shù)官布賴恩·福克斯說(shuō):“很多維護(hù)員都非常勤奮——大型科技公司不遺余力地雇傭有才華的人來(lái)維護(hù)他們所依賴的圖書(shū)館。”“我們的行業(yè)需要將努力引向正確的地方。事實(shí)上,幾乎所有下載的組件都有一個(gè)已知漏洞的修復(fù)程序,這一事實(shí)告訴我們,當(dāng)務(wù)之急應(yīng)該是支持開(kāi)發(fā)人員成為更好的決策者,并讓他們能夠使用正確的工具。其目標(biāo)是幫助開(kāi)發(fā)人員更有意識(shí)地從擁有最多維護(hù)人員和最健康的貢獻(xiàn)者生態(tài)系統(tǒng)的項(xiàng)目中下載開(kāi)源軟件。這不僅將創(chuàng)建更安全的軟件,而且每年還可以收回近2周浪費(fèi)的開(kāi)發(fā)人員時(shí)間。
感受到的安全感與現(xiàn)實(shí)脫節(jié)
在軟件供應(yīng)鏈攻擊不斷增加的情況下,軟件開(kāi)發(fā)中感知到的安全性與現(xiàn)實(shí)之間也持續(xù)存在脫節(jié):
企業(yè)認(rèn)為他們的軟件供應(yīng)鏈處于控制之下:67%的受訪者相信他們的應(yīng)用程序不依賴已知的易受攻擊的庫(kù)。然而,近10%的受訪者報(bào)告稱,他們的企業(yè)在過(guò)去12個(gè)月中因開(kāi)源漏洞而存在安全漏洞。
許多企業(yè)對(duì)開(kāi)源漏洞的認(rèn)識(shí)和緩解缺乏緊迫性:報(bào)告發(fā)現(xiàn),39%的企業(yè)在一到七天內(nèi)發(fā)現(xiàn)漏洞;29%的企業(yè)需要一周以上的時(shí)間才能發(fā)現(xiàn)漏洞,28%的企業(yè)在一天內(nèi)發(fā)現(xiàn)漏洞;在緩解方面,36.2%的受訪者需要一周以上的時(shí)間來(lái)緩解漏洞。
開(kāi)發(fā)人員在推動(dòng)進(jìn)步方面發(fā)揮著關(guān)鍵作用
持續(xù)維護(hù)的開(kāi)放源碼項(xiàng)目在關(guān)鍵軟件安全最佳實(shí)踐方面的表現(xiàn)優(yōu)于它們的同行。與維護(hù)較少的庫(kù)相比,維護(hù)一致的項(xiàng)目往往得分:
- SAST高出5.9倍。
- 簽名版本的性能提高了5.4倍。
- 依賴關(guān)系更新工具的性能提高了5.1倍。
- 代碼審查速度提高3.6倍。
- 分支機(jī)構(gòu)保護(hù)能力提高3.8倍。
優(yōu)化的依賴關(guān)系管理可節(jié)省時(shí)間、資金并降低安全風(fēng)險(xiǎn):與優(yōu)化升級(jí)相結(jié)合,一年內(nèi)誤報(bào)減少25%可為您在解決組件升級(jí)和高風(fēng)險(xiǎn)漏洞產(chǎn)生方面節(jié)省兩倍的時(shí)間。
福克斯補(bǔ)充道:“有影響力的變革需要明確的方向。”無(wú)論是好是壞,今天的軟件企業(yè)面臨著解決這些問(wèn)題的壓倒性選擇--從大量的框架到每周的政府指導(dǎo),等等。所有這些選擇都已經(jīng)成熟,可以造成癱瘓,這使得它很難開(kāi)始。
提高效率和安全態(tài)勢(shì)
在軟件供應(yīng)鏈漏洞激增的情況下,有跡象表明,開(kāi)發(fā)人員正在采取措施提高效率和安全態(tài)勢(shì)。報(bào)告顯示,在不到一年的時(shí)間里,AI/ML組件在軟件開(kāi)發(fā)中的使用激增了135%,這主要是因?yàn)樵摷夹g(shù)為軟件開(kāi)發(fā)人員提供了巨大的效率,此外AI/ML組件可以如此快速地集成到軟件開(kāi)發(fā)工作流中。也就是說(shuō),開(kāi)發(fā)人員和企業(yè)在開(kāi)發(fā)自己的AI產(chǎn)品方面面臨著巨大的挑戰(zhàn)。
Sonatype負(fù)責(zé)產(chǎn)品創(chuàng)新的副總裁斯蒂芬·馬吉爾表示:“選擇合適的AI/ML工具真的很難——有數(shù)十萬(wàn)種選擇,而選擇這些工具的重?fù)?dān)落在了數(shù)據(jù)科學(xué)家身上。”“AI/ML也帶來(lái)了大量新的安全和許可問(wèn)題,更不用說(shuō)實(shí)施付費(fèi)服務(wù)的巨額成本了。由于LLM模型的很大一部分是開(kāi)源的,這意味著與開(kāi)源相關(guān)的所有固有的安全擔(dān)憂也將對(duì)AI產(chǎn)生重要影響。
