[[331716]]

JavaScript、Ruby 和 Java 是間接依賴中存在缺陷最多的生態(tài)系統(tǒng)。

開源項(xiàng)目中的絕大多數(shù)安全漏洞都存在于間接依賴關(guān)系中，而不是存在于直接加載的組件之中。

“匯總所有生態(tài)系統(tǒng)的數(shù)字后，我們發(fā)現(xiàn)間接依賴中存在的漏洞數(shù)量是直接依賴的三倍以上。”Snyk 的應(yīng)用安全顧問 Alyssa Miller 在接受討論 Snyk 的《 2020 年開源安全狀況報(bào)告 》的采訪時(shí)說。

該報(bào)告研究了漏洞如何影響 JavaScript（npm）、Ruby（RubyGems）、Java（MavenCentral）、PHP（Packagist）和Python（PyPI）生態(tài)系統(tǒng)。

Snyk 表示，項(xiàng)目?jī)?nèi)部加載的主要組件所依賴的依賴庫，受到了 86% 的 JavaScript 安全漏洞、81% 的 Ruby 漏洞和 74% 的 Java 漏洞的影響。

Snyk 認(rèn)為，公司在掃描他們的主要依賴項(xiàng)是否存在安全問題時(shí)，如果不能探索其完整依賴樹的多個(gè)層次，會(huì)導(dǎo)致發(fā)布或最終運(yùn)行容易受到不可預(yù)見的缺陷影響的產(chǎn)品。

但是，雖然安全缺陷在 JavaScript、Ruby 和 Java 中普遍存在，但在 PHP 和 Python 中卻不是這樣，絕大多數(shù)缺陷都存在于直接依賴關(guān)系（主要組件）中。當(dāng)然，這是有原因的。

“老實(shí)說，我發(fā)現(xiàn)這更多取決于生態(tài)系統(tǒng)內(nèi)部本身的開發(fā)方法。”Miller 說。“尤其是 Java 和 Node.js 項(xiàng)目，似乎比其他生態(tài)系統(tǒng)更重地利用了依賴性。特別是，當(dāng)你看到 Node.js 生態(tài)系統(tǒng)的龐大規(guī)模時(shí)，從其他包構(gòu)建或利用關(guān)鍵功能的包是非常正常的。”

“詢問任何 Node.js 開發(fā)人員，他們都可能會(huì)遇到這樣的事，即在 npm 試圖拉取所有必要的依賴關(guān)系時(shí)，等待很長(zhǎng)時(shí)間才能打開一個(gè)項(xiàng)目，”Miller 補(bǔ)充說。“我們最喜歡的一個(gè)例子是一個(gè) 80 行的 Java 應(yīng)用程序，指定了 7 個(gè)依賴關(guān)系。然而，當(dāng)你走完整個(gè)依賴樹時(shí)，你會(huì)發(fā)現(xiàn)有 59 個(gè)子依賴，突然間，80 行代碼變成了 74 萬行。”

“正如我們喜歡給它起的綽號(hào)，這種‘陌生人的危險(xiǎn)’，是一些重大安全漏洞的根本原因，也是造成軟件供應(yīng)鏈安全復(fù)雜化的關(guān)鍵原因，”Miller說。

少量的缺陷會(huì)造成了巨大的影響

但 Snyk 團(tuán)隊(duì)并不只是看這些缺陷在開源生態(tài)系統(tǒng)中的位置，還看它們是什么類型的缺陷。

另一個(gè)有趣的發(fā)現(xiàn)是，2019 年發(fā)現(xiàn)的大部分新安全漏洞都是跨站腳本（XSS）缺陷，盡管數(shù)量很多，但這些缺陷只影響了一小部分實(shí)際運(yùn)行的項(xiàng)目。

相反，在去年發(fā)現(xiàn)的所有缺陷中，有二十幾個(gè)原型污染缺陷的影響最大，影響了超過 11.5 萬個(gè)不同的開源項(xiàng)目，可能還有更多的私有項(xiàng)目也受影響。其中，jQuery 和 LoDash 的原型污染缺陷影響最大，因?yàn)檫@些框架是目前應(yīng)用最廣泛的 JavaScript 開發(fā)工具集。

但是，Snyk 團(tuán)隊(duì)在報(bào)告中還指出了另一個(gè)不尋常的地方，即“惡意軟件包”被列為他們?nèi)ツ暝陧?xiàng)目中發(fā)現(xiàn)的第二大最常見的安全問題類型。這指的是故意出于惡意創(chuàng)建的開放源代碼庫，或者是開發(fā)人員帳戶被黑并且代碼中毒的庫。

根據(jù) Snyk 的說法，去年，被黑的或惡意的軟件包是開源生態(tài)系統(tǒng)中第二大最常見的安全問題來源。“這些絕大多數(shù)（超過 87％）來自 npm （JavaScript）軟件包，” Miller 說。

去年的安全問題不那么嚴(yán)重，但也不值得慶祝

此外，Snyk 還指出，他們?cè)谒鶔呙璧乃形鍌€(gè)生態(tài)系統(tǒng)中發(fā)現(xiàn)的缺陷數(shù)量下降了 20％。

“很難確定（它們因?yàn)槭裁聪陆担?rdquo;Miller 說。“以我這種永久安全懷疑論者來說，這可能只是自然的退潮和流動(dòng)的一部分。然而，在樂觀的一面，我們確實(shí)看到了社區(qū)的一些關(guān)鍵變化，這可能意味著這不僅僅是這一年的異常值。”

“例如，我們看到所報(bào)告的跨站點(diǎn)腳本（XSS）漏洞比任何其他漏洞類型都多，它們只影響了我們當(dāng)年掃描的總項(xiàng)目中的一小部分。這表明，XSS 可能不會(huì)影響到使用率更高因而更成熟的項(xiàng)目，這意味著人們可能更多關(guān)注安全編碼技術(shù)方面。”

“此外，我們的調(diào)查顯示，整個(gè)社區(qū)的態(tài)度開始將軟件安全視為開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)（甚至在某種程度上是運(yùn)營團(tuán)隊(duì)）之間的共同責(zé)任，”Miller 說。

“這種合作的改善無疑可以幫助推動(dòng)圍繞安全代碼和安全使用開源包的更好的意識(shí)和戰(zhàn)術(shù)措施。”

“我在安全領(lǐng)域工作了 15 年，我當(dāng)然還沒有準(zhǔn)備好宣布某一年是事情出現(xiàn)轉(zhuǎn)機(jī)的標(biāo)志，但你可以認(rèn)為這是一個(gè)趨勢(shì)，我們將繼續(xù)觀察，看看未來幾個(gè)月和整個(gè) 2020 年的情況如何。”