根據資安分析公司 Lineaje 的最新報告,美國和俄羅斯不僅是開源專案的主要貢獻國,也是擁有最多匿名開源貢獻者的國家。
該報告進一步揭露,一般中型應用程式存在數個令人憂心的趨勢,可能引發嚴重的資安漏洞。
開源程式碼引發資安隱憂:
開源程式碼的使用量是自行開發程式碼的 2 至 9 倍,而 95% 以上的資安弱點都來自開源套件的依賴關係。
在所有 CVE 等級漏洞中,超過半數(51%)沒有已知的修補方案。更令人憂心的是,70% 的開源組件處於無人維護或維護不足的狀態。
無人維護的開源程式反而較安全:
令人意外的是,
無人維護的開源程式反而比持續維護的開源程式更為安全,後者的資安漏洞率竟高出 1.8 倍。這主要是因為頻繁的程式碼更新反而提高了資安風險。
資安漏洞修補極具挑戰性:
單一開源專案可能包含高達 60 層、來自數十個開源組織的組件。這些組件就像樂高積木一樣,以複雜的結構整合成一個依賴項,再由開發人員導入組織的應用程式中。此種結構造成風險評估不足且漏洞修補效率低落。
若能有效判斷漏洞的優先處理順序,區分出需要立即修補與可暫緩處理的項目,不僅可減少 50% 的修補工作量,還能將資安防護能力提升 20~70%。
版本擴散造成複雜問題:
超過 15% 的開源組件在同一應用程式中存在多個版本,導致修補工作難度大幅提升。
程式語言多樣性帶來資安風險:
一個中型應用程式可能包含 139 種程式語言,總計達 140 萬行程式碼,這經常導致引入不安全的記憶體操作語言。即使資安導向的組織在自行開發時採用記憶體安全的程式語言,但如果在選擇開源依賴項時未將程式語言納入考量因素,仍可能因依賴關係而增加資安風險。
團隊規模影響程式品質與資安:
中型團隊開發的開源套件風險最低,相較之下,
小型團隊(少於 10 人)開發的專案風險高出 330%,而大型團隊(超過50人)的套件風險則高出 40%。
延伸閱讀:供應鏈資安風險管理將成2025年關鍵議題
本文轉載自 HelpNetSecurity。