大多数开源都有安全缺陷
对黑鸭2017开源安全和风险分析(OSSRA)进行的软件审计发现,金融应用平均有52个开源漏洞。
黑鸭的开源研究中心(Cosri)分析了2016年审计的1,071份申请。
审计报告称,所有行业的96%的申请占开源的开放来源和大部分都容易受到开源安全问题的影响。
总体而言,60%的申请审计包含高风险漏洞。零售和电子商务行业具有高风险开放源漏洞的应用最高,83%的审计应用程序含有高风险漏洞。
Chris Fearon是Cosri的安全研究组织的Black Dute开源安全研究组主任,说:“COSRI分析的结果清楚地表明,每个行业的组织都有很长的路要走,以便在他们管理开源方面有效。”
Black Duck表示,每个版本的Linux,PHP,Ruby在Rails和MS.NET中包含高风险漏洞。
最近在云本机计算论坛上的演示文稿,它权衡开源是否比商业软件更为安全,突出了许多常见的漏洞。例如,Heartbled是由OpenSSL代码中的缓冲区溢出引起的。ShellShock是Linux Bash(Bourne再次壳牌)脚本语言的安全缺陷。这个特殊的缺陷存在于Linux Torvalds,Linux创作者的原始代码中,1991年提出了尚未发现和修补的原因。
与商业软件不同,如果更新自动“推送”向用户,则开源具有“拉”支持模型。这意味着用户负责跟踪漏洞以及它们使用的开源的修复和更新。
黑鸭首席执行官娄世利说:“开源漏洞的利用是大多数公司拥有的最大的应用安全风险。”
在审计的应用程序中也发现开源许可冲突普遍存在。超过85%的分析应用包含具有许可证挑战的开源组件,称为黑鸭。
大多数开源组件由大约2,500名已知的开源许可证的控制,如果识别组件本身,则可以跟踪和管理许可证义务,但它说。
但黑鸭发现,扫描的53%的应用程序有未知的许可证,这意味着没有人有权从软件的创建者修改或共享代码。
没有可识别许可条款的组件是有问题的。如果软件没有许可证,则通常意味着没有人可以从软件的创建者权限使用,修改或共享它。Creative Work,包括代码,截至默认是独家版权,默认情况下,黑鸭子说。
