https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

觀點

報告:95% 以上資安弱點來自開源軟體套件的依賴關係

2025 / 01 / 13
編輯部
報告:95% 以上資安弱點來自開源軟體套件的依賴關係
根據資安分析公司 Lineaje 的最新報告,美國和俄羅斯不僅是開源專案的主要貢獻國,也是擁有最多匿名開源貢獻者的國家。

該報告進一步揭露,一般中型應用程式存在數個令人憂心的趨勢,可能引發嚴重的資安漏洞。

開源程式碼引發資安隱憂
開源程式碼的使用量是自行開發程式碼的 2 至 9 倍,而 95% 以上的資安弱點都來自開源套件的依賴關係。在所有 CVE 等級漏洞中,超過半數(51%)沒有已知的修補方案。更令人憂心的是,70% 的開源組件處於無人維護或維護不足的狀態。

無人維護的開源程式反而較安全
令人意外的是,無人維護的開源程式反而比持續維護的開源程式更為安全,後者的資安漏洞率竟高出 1.8 倍。這主要是因為頻繁的程式碼更新反而提高了資安風險。

資安漏洞修補極具挑戰性
單一開源專案可能包含高達 60 層、來自數十個開源組織的組件。這些組件就像樂高積木一樣,以複雜的結構整合成一個依賴項,再由開發人員導入組織的應用程式中。此種結構造成風險評估不足且漏洞修補效率低落。

若能有效判斷漏洞的優先處理順序,區分出需要立即修補與可暫緩處理的項目,不僅可減少 50% 的修補工作量,還能將資安防護能力提升 20~70%。

版本擴散造成複雜問題
超過 15% 的開源組件在同一應用程式中存在多個版本,導致修補工作難度大幅提升。

程式語言多樣性帶來資安風險
一個中型應用程式可能包含 139 種程式語言,總計達 140 萬行程式碼,這經常導致引入不安全的記憶體操作語言。即使資安導向的組織在自行開發時採用記憶體安全的程式語言,但如果在選擇開源依賴項時未將程式語言納入考量因素,仍可能因依賴關係而增加資安風險。

團隊規模影響程式品質與資安
中型團隊開發的開源套件風險最低,相較之下,小型團隊(少於 10 人)開發的專案風險高出 330%,而大型團隊(超過50人)的套件風險則高出 40%

延伸閱讀:供應鏈資安風險管理將成2025年關鍵議題
 
本文轉載自 HelpNetSecurity。