隨著開源代碼在商業(yè)和家用應用上越來越流行��,基于它的漏洞的攻擊也日益增多���,據(jù)黑鴨子軟件對收集的開源項目的數(shù)據(jù)統(tǒng)計�,其預計今年的攻擊增長 20% 。
創(chuàng)新互聯(lián)主要為客戶提供服務項目涵蓋了網(wǎng)頁視覺設計���、VI標志設計����、營銷推廣�、網(wǎng)站程序開發(fā)、HTML5響應式成都網(wǎng)站建設���、成都手機網(wǎng)站制作�����、微商城�、網(wǎng)站托管及成都網(wǎng)站維護�����、WEB系統(tǒng)開發(fā)、域名注冊�����、國內(nèi)外服務器租用����、視頻、平面設計�����、SEO優(yōu)化排名����。設計、前端����、后端三個建站步驟的完善服務體系。一人跟蹤測試的建站服務標準���。已經(jīng)為主動防護網(wǎng)行業(yè)客戶提供了網(wǎng)站建設服務���。
黑鴨子軟件安全戰(zhàn)略部的副總經(jīng)理 Mike Pittenger 介紹說���,包含了 50% 以上的自由����、開放源軟件的商業(yè)軟件項目占比從 2011 年的 3% 上升到今天的 33%。
他說�����,平均每個商業(yè)應用使用超過 100 個開源組件�,而三分之二的商業(yè)應用代碼帶有已知漏洞。
更糟糕的是�,軟件的買家常常無法知道他們購買的軟件中有哪些開源組件。
“一般來說����,公司并不樂于提供這些”,他說到�。他們?yōu)榭蛻籼峁┑慕M件列表常常是不完整的?�!叭绻阄唇?jīng)他們同意就掃描二進制碼����,你很可能違反了他們的許可協(xié)議��,給自己帶來很多麻煩”���。
一些大公司買家可能有權(quán)要求他們完整披露,并由第三方比如黑鴨子軟件進行掃描驗證�。
完全避免開源軟件并不是一個好的選擇。很多開源庫是事實上的工業(yè)標準���,而且從頭開始寫同樣的代碼太耗費時間�,延誤了投放市場的時間�,損害了公司的競爭力。因此��,商業(yè)軟件商使用開源代碼的越來越多��,這個趨勢在加速�,Pittenger 說到。
同樣的邏輯適用于企業(yè)自建軟件�����, ISACA 思維領(lǐng)導與研究部門總監(jiān) Ed Moyle 說����。ISACA 是 IT 和 網(wǎng)絡安全專業(yè)人員的一個全球化組織��。
“也有很多社區(qū)支持活躍的項目�����,帶來可靠的安全和功能更新”,他補充說����。“在特定情況下�,如果能夠?qū)徲嫶a會帶來安全的好處,當然也帶來了高度定制軟件的能力�。按照以往經(jīng)驗,如果一個商業(yè)工具能夠做什么事���,很可能就會有開源工具提供同樣的功能���。”但是�,“多個眼睛”來檢查開源代碼漏洞的方式并不總能有好的效果。
“任何人都可以審計代碼�,但也可能每個人都認為有人來審計,結(jié)果最終誰都沒有做此事�?�!薄碜?nbsp;AlienVault 的安全顧問 Javvad Malik 說�����?��!斑@是一個問題?���!?/p>
結(jié)果,管理開源組件越來越棘手�����,而那些壞家伙們也意識到這一點��。
開源代碼到處都是�,所以攻擊者可以使用同樣的利用方式尋找一大批目標。由于跟蹤開源代碼的困難�����,使用者常常不打補丁和更新���,這樣���,黑客可以利用已知漏洞和已公布的缺陷利用例子�。
物聯(lián)網(wǎng)的興起去年也成為了一個主要的安全問題�����,今年將繼續(xù)是一個主要問題�,專家們預測�����。
“智能設備和物聯(lián)網(wǎng)中使用了許多開源軟件���,這正是 Mirai 僵尸網(wǎng)絡病毒利用的漏洞�����,”Malik 說�。(LCTT 譯注:自 2016 年 9 月黑客操控感染了惡意軟件 Mirai 的物聯(lián)網(wǎng)設備發(fā)起了 DDoS 攻擊�,影響波及很多著名網(wǎng)站,并導致服務中斷�����,影響頗深頗廣。)
同時���,開發(fā)者常常不檢查開源代碼漏洞�����,或者懷疑有問題但由于最后期限的壓力��,而直接使用了��。所以��,不只是未打補丁的漏洞存在著���,還有新寫的代碼會集成進去舊的、已知的漏洞����,黑鴨子軟件的 Pittenger 說到。
商業(yè)軟件項目中的漏洞平均存活時間為 5 年���,他說到��。
心血漏洞這個漏洞早在 2014 年初就在 OpenSSL 庫中發(fā)現(xiàn)�����,并被廣泛宣傳����。但去年,在測試的應用中仍有 10% 存在此漏洞�。
此外,每年有 2000 到 4000 個新漏洞被發(fā)現(xiàn)����,Pittenger 補充說��。
要解決這個問題����,需要軟件商和顧客的切實行動,以及企業(yè)級軟件開發(fā)者的安全意識——不過目前看在最終改善前�����,形勢很可能還要惡化。
歡迎對此提出您的評論����。
編譯自:http://www.csoonline.com/article/3157377/application-development/report-attacks-based-on-open-source-vulnerabilities-will-rise-20-percent-this-year.html 作者: Maria Korolov 譯者: jasminepeng
本文題目:基于開源軟件漏洞的攻擊今年將上升20%
本文URL:
http://uogjgqi.cn/article/dpphhij.html
