近日 Sonatype 發(fā)布了“2018年開源安全與風(fēng)險分析”報告，該報告顯示開源應(yīng)用有大幅增長，在檢測的應(yīng)用中有96％包含開源組件，同時包含漏洞的軟件數(shù)量也在不斷增加。隨著開源產(chǎn)業(yè)不斷發(fā)展，目前軟件安全問題亟需得到關(guān)注。

報告顯示，在每個行業(yè)的應(yīng)用程序中都發(fā)現(xiàn)了存在漏洞的開源組件，其中互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu)以67％的比例，在包含高危漏洞應(yīng)用的行業(yè)排行中居***位。而諷刺的是，網(wǎng)絡(luò)安全行業(yè)中竟然有41％的應(yīng)用程序被發(fā)現(xiàn)存在高危漏洞，在排行中位居第四。審計代碼庫中超過54％的漏洞是高危級別的，其中17％的代碼庫包含 Heartbleed、Logjam、Freak、Drown 與 Poodle 等知名漏洞。

“根據(jù)我們的研究，我們知道即使是世界上***、最成功的公司也會構(gòu)建出不安全的代碼，例如，財富全球100強(qiáng)中有57％下載了 Apache Struts 已知帶有漏洞的版本進(jìn)行開發(fā)。“Sonatype 副總裁 Derek Weeks 說。由于開源軟件的普遍使用，一旦軟件存在漏洞，那么采用該開源軟件的產(chǎn)品也將變得危險，報告中也清楚地表明，就像使用含有漏洞的 Struts 的例子，各組織正在不斷往其代碼庫中積累越來越多的漏洞。

Weeks 繼續(xù)說到：“我們從未如此依靠免費開源組件來加速開發(fā)。但是我們需要關(guān)注到采用開源軟件時的安全問題，不能一味求效率。“