组织正在利用许多开源产品，包括代码库，操作系统，软件和各种用例的应用程序。开源在灵活性，成本效益和速度方面可能是有利的，但是它提出了一些独特的安全挑战。高达96％的商业应用程序可能包含开源组件，因此面临的挑战是确保您的软件安全。

什么是开源漏洞？

开源中的漏洞就像是专有产品中出现的漏洞。这些是代码作者意外编写的代码，黑客可以从中受益，或者允许攻击者以代码作者未规划的方式进行资本化的功能。在某些情况下，这可能导致诸如拒绝服务（DoS）和使服务脱机等问题，而在严重违规时，黑客可以获得对组织系统的远程访问。
但是，专有和开源之间的相似之处在此结束。虽然内部代码是由一组坚持组织集中指导的开发人员编写的，但开源是在编写，修复和保持项目运动的社区成员之间分配的。
这种集中式与分布式系统通常被称为大教堂和市集。在集中式系统中，有一个独特的组织，它有一个处理修复和新增功能的标准系统。组织可能会发现开源代码更难以处理，因为它遵循一套不同的，通常更为模糊的规则。
在这种非结构化环境中工作对于组织来说可能很难处理，并且黑客通常会利用这种缺乏集中管理的能力。很多时候，开发人员将从站点上的存储库中获取开源代码，并且无法查看该组件是否具有任何已知漏洞。更可怕的是，没有多少组织建立了跟踪其产品或库存中的开源的解决方案。

Equifax Breach

新发布的2018年OSSRA报告研究了来自500多个组织的1,000多个商业代码库的审计结果。扫描确定的中心数据点是，平均而言，发现漏洞需要更长的时间。平均而言，审计中发现的漏洞在六年前与2017年记录的四年相比有所揭示。这些调查结果表明，负责补救的人可能需要更长的时间来重新调解，或者没有重新调解所有。它还表明这些人正在让开源漏洞在他们的代码库中积累。
一个例子是导致Equifax漏洞的Apache Struts漏洞。这一漏洞影响了超过1.48亿美国客户，接近7,00,000英国居民和19,000多名加拿大消费者的数据。 2017年3月，Struts漏洞被公布，并发布了一个补丁。 2017年9月，由未修补的Struts版本推动的Equifax漏洞被公布。随后的宣传将使参与应用程序安全的任何人都难以忽略修补任何易受攻击的Struts版本的需要。
然而，似乎组织没有被提示采取行动，并且Equifax新闻几乎没有影响。据发现，8％的审计代码库包含Apache Struts，其中33％仍有Struts漏洞导致Equifax漏洞。

4开源安全风险和漏洞需要注意

1.攻击的公共性质

在开源项目中，代码可供任何人使用。这有其优势，因为开源社区中的人可以标记他们在代码中识别的潜在漏洞，这使得开源团队领导者有时间在公开发布漏洞信息之前修复问题。但是，所有漏洞都会及时成为国家漏洞数据库（NVD）的公共信息。黑客可以访问这些信息，并追踪那些对依赖于具有漏洞的开源项目的应用程序进行修补的速度慢的组织。

2.潜在的侵权风险

开源组件可能会产生知识产权侵权风险，因为这些项目没有标准的商业控制。因此，专有代码可以进入开源项目。

3.运营问题

使用开源组件的企业面临的一个关键风险领域是组织的运营效率低下。从操作的角度来看，严重关注的是组织未能跟踪开源组件并更新这些组件，与新版本保持一致。

4.开发人员的医疗事故

开发人员的不法行为，包括从开源库复制和粘贴代码。复制和粘贴是有问题的，因为开发人员在复制时会复制项目代码中可能存在的任何漏洞。此外，一旦开发人员将代码片段添加到组织的代码库中，就无法更新或跟踪代码片段。这使得组织的应用程序容易出现将来可能发生的漏洞。可能发生的另一个不法行为是通过电子邮件手动转移开源组件。

结论

未来一年，开源安全可能会变得更加紧迫。你问为什么？随着开放在Web应用程序开发中变得越来越普遍，它将成为攻击者更大，更具吸引力的目标。攻击者可能会找到一个开源库或组件的漏洞，并且可能同时影响多个应用程序。由于这些库和组件是开放的，攻击者可以更容易地找到这些漏洞。
那么我们从这一切中得到什么呢？在2019年保持最新的开源安全风险和漏洞是值得的，并且您解决这些潜在风险的速度越快，您的组织可能承受的损害就越小。

原文：https://blog.bitsrc.io/open-source-security-risks-and-vulnerabilities-to-know-in-2019-8354058f6ad3

本文:http://pub.intelligentx.net/open-source-security-risks-and-vulnerabilities-know-2019

讨论: 加入知识星球【首席架构师圈】