隨著開源代碼在商業(yè)和家用應(yīng)用上越來越流行，基于它的漏洞的攻擊也日益增多，據(jù)黑鴨子軟件對收集的開源項目的數(shù)據(jù)統(tǒng)計，其預(yù)計今年的攻擊增長 20% 。

黑鴨子軟件安全戰(zhàn)略部的副總經(jīng)理 Mike Pittenger 介紹說，包含了 50% 以上的自由、開放源軟件的商業(yè)軟件項目占比從 2011 年的 3% 上升到今天的 33%。

[[182818]]

他說，平均每個商業(yè)應(yīng)用使用超過 100 個開源組件，而三分之二的商業(yè)應(yīng)用代碼帶有已知漏洞。

更糟糕的是，軟件的買家常常無法知道他們購買的軟件中有哪些開源組件。

“一般來說，公司并不樂于提供這些”，他說到。他們?yōu)榭蛻籼峁┑慕M件列表常常是不完整的。“如果你未經(jīng)他們同意就掃描二進(jìn)制碼，你很可能違反了他們的許可協(xié)議，給自己帶來很多麻煩”。

一些大公司買家可能有權(quán)要求他們完整披露，并由第三方比如黑鴨子軟件進(jìn)行掃描驗證。

完全避免開源軟件并不是一個好的選擇。很多開源庫是事實上的工業(yè)標(biāo)準(zhǔn)，而且從頭開始寫同樣的代碼太耗費時間，延誤了投放市場的時間，損害了公司的競爭力。因此，商業(yè)軟件商使用開源代碼的越來越多，這個趨勢在加速，Pittenger　說到。

同樣的邏輯適用于企業(yè)自建軟件， ISACA 思維領(lǐng)導(dǎo)與研究部門總監(jiān) Ed Moyle 說。ISACA 是 IT 和 網(wǎng)絡(luò)安全專業(yè)人員的一個全球化組織。

“也有很多社區(qū)支持活躍的項目，帶來可靠的安全和功能更新”，他補(bǔ)充說。“在特定情況下，如果能夠?qū)徲嫶a會帶來安全的好處，當(dāng)然也帶來了高度定制軟件的能力。按照以往經(jīng)驗，如果一個商業(yè)工具能夠做什么事，很可能就會有開源工具提供同樣的功能。”但是，“多個眼睛”來檢查開源代碼漏洞的方式并不總能有好的效果。

“任何人都可以審計代碼，但也可能每個人都認(rèn)為有人來審計，結(jié)果最終誰都沒有做此事。”　來自 AlienVault 的安全顧問　Javvad Malik　說。“這是一個問題。”

結(jié)果，管理開源組件越來越棘手，而那些壞家伙們也意識到這一點。

開源代碼到處都是，所以攻擊者可以使用同樣的利用方式尋找一大批目標(biāo)。由于跟蹤開源代碼的困難，使用者常常不打補(bǔ)丁和更新，這樣，黑客可以利用已知漏洞和已公布的缺陷利用例子。

物聯(lián)網(wǎng)的興起去年也成為了一個主要的安全問題，今年將繼續(xù)是一個主要問題，專家們預(yù)測。

“智能設(shè)備和物聯(lián)網(wǎng)中使用了許多開源軟件，這正是 Mirai 僵尸網(wǎng)絡(luò)病毒利用的漏洞，”Malik 說。（LCTT 譯注：自 2016 年 9 月黑客操控感染了惡意軟件 Mirai 的物聯(lián)網(wǎng)設(shè)備發(fā)起了 DDoS 攻擊，影響波及很多著名網(wǎng)站，并導(dǎo)致服務(wù)中斷，影響頗深頗廣。）

同時，開發(fā)者常常不檢查開源代碼漏洞，或者懷疑有問題但由于最后期限的壓力，而直接使用了。所以，不只是未打補(bǔ)丁的漏洞存在著，還有新寫的代碼會集成進(jìn)去舊的、已知的漏洞，黑鴨子軟件的 Pittenger 說到。

商業(yè)軟件項目中的漏洞平均存活時間為 5 年，他說到。

心血漏洞這個漏洞早在 2014 年初就在 OpenSSL 庫中發(fā)現(xiàn)，并被廣泛宣傳。但去年，在測試的應(yīng)用中仍有 10% 存在此漏洞。

此外，每年有 2000 到 4000 個新漏洞被發(fā)現(xiàn)，Pittenger 補(bǔ)充說。

要解決這個問題，需要軟件商和顧客的切實行動，以及企業(yè)級軟件開發(fā)者的安全意識——不過目前看在最終改善前，形勢很可能還要惡化。

歡迎對此提出您的評論。

編譯自：http://www.csoonline.com/article/3157377/application-development/report-attacks-based-on-open-source-vulnerabilities-will-rise-20-percent-this-year.html 作者： Maria Korolov 譯者： jasminepeng