基于開源軟件漏洞的攻擊今年將上升20%
隨著開源代碼在商業(yè)和家用應(yīng)用上越來越流行,基于它的漏洞的攻擊也日益增多,據(jù)黑鴨子軟件對收集的開源項(xiàng)目的數(shù)據(jù)統(tǒng)計(jì),其預(yù)計(jì)今年的攻擊增長 20% 。
黑鴨子軟件安全戰(zhàn)略部的副總經(jīng)理 Mike Pittenger 介紹說,包含了 50% 以上的自由、開放源軟件的商業(yè)軟件項(xiàng)目占比從 2011 年的 3% 上升到今天的 33%。
他說,平均每個(gè)商業(yè)應(yīng)用使用超過 100 個(gè)開源組件,而三分之二的商業(yè)應(yīng)用代碼帶有已知漏洞。
更糟糕的是,軟件的買家常常無法知道他們購買的軟件中有哪些開源組件。
“一般來說,公司并不樂于提供這些”,他說到。他們?yōu)榭蛻籼峁┑慕M件列表常常是不完整的。“如果你未經(jīng)他們同意就掃描二進(jìn)制碼,你很可能違反了他們的許可協(xié)議,給自己帶來很多麻煩”。
一些大公司買家可能有權(quán)要求他們完整披露,并由第三方比如黑鴨子軟件進(jìn)行掃描驗(yàn)證。
完全避免開源軟件并不是一個(gè)好的選擇。很多開源庫是事實(shí)上的工業(yè)標(biāo)準(zhǔn),而且從頭開始寫同樣的代碼太耗費(fèi)時(shí)間,延誤了投放市場的時(shí)間,損害了公司的競爭力。因此,商業(yè)軟件商使用開源代碼的越來越多,這個(gè)趨勢在加速,Pittenger 說到。
同樣的邏輯適用于企業(yè)自建軟件, ISACA 思維領(lǐng)導(dǎo)與研究部門總監(jiān) Ed Moyle 說。ISACA 是 IT 和 網(wǎng)絡(luò)安全專業(yè)人員的一個(gè)全球化組織。
“也有很多社區(qū)支持活躍的項(xiàng)目,帶來可靠的安全和功能更新”,他補(bǔ)充說。“在特定情況下,如果能夠?qū)徲?jì)代碼會(huì)帶來安全的好處,當(dāng)然也帶來了高度定制軟件的能力。按照以往經(jīng)驗(yàn),如果一個(gè)商業(yè)工具能夠做什么事,很可能就會(huì)有開源工具提供同樣的功能。”但是,“多個(gè)眼睛”來檢查開源代碼漏洞的方式并不總能有好的效果。
“任何人都可以審計(jì)代碼,但也可能每個(gè)人都認(rèn)為有人來審計(jì),結(jié)果最終誰都沒有做此事。” 來自 AlienVault 的安全顧問 Javvad Malik 說。“這是一個(gè)問題。”
結(jié)果,管理開源組件越來越棘手,而那些壞家伙們也意識到這一點(diǎn)。
開源代碼到處都是,所以攻擊者可以使用同樣的利用方式尋找一大批目標(biāo)。由于跟蹤開源代碼的困難,使用者常常不打補(bǔ)丁和更新,這樣,黑客可以利用已知漏洞和已公布的缺陷利用例子。
物聯(lián)網(wǎng)的興起去年也成為了一個(gè)主要的安全問題,今年將繼續(xù)是一個(gè)主要問題,專家們預(yù)測。
“智能設(shè)備和物聯(lián)網(wǎng)中使用了許多開源軟件,這正是 Mirai 僵尸網(wǎng)絡(luò)病毒利用的漏洞,”Malik 說。(LCTT 譯注:自 2016 年 9 月黑客操控感染了惡意軟件 Mirai 的物聯(lián)網(wǎng)設(shè)備發(fā)起了 DDoS 攻擊,影響波及很多著名網(wǎng)站,并導(dǎo)致服務(wù)中斷,影響頗深頗廣。)
同時(shí),開發(fā)者常常不檢查開源代碼漏洞,或者懷疑有問題但由于最后期限的壓力,而直接使用了。所以,不只是未打補(bǔ)丁的漏洞存在著,還有新寫的代碼會(huì)集成進(jìn)去舊的、已知的漏洞,黑鴨子軟件的 Pittenger 說到。
商業(yè)軟件項(xiàng)目中的漏洞平均存活時(shí)間為 5 年,他說到。
心血漏洞這個(gè)漏洞早在 2014 年初就在 OpenSSL 庫中發(fā)現(xiàn),并被廣泛宣傳。但去年,在測試的應(yīng)用中仍有 10% 存在此漏洞。
此外,每年有 2000 到 4000 個(gè)新漏洞被發(fā)現(xiàn),Pittenger 補(bǔ)充說。
要解決這個(gè)問題,需要軟件商和顧客的切實(shí)行動(dòng),以及企業(yè)級軟件開發(fā)者的安全意識——不過目前看在最終改善前,形勢很可能還要惡化。
歡迎對此提出您的評論。
編譯自:http://www.csoonline.com/article/3157377/application-development/report-attacks-based-on-open-source-vulnerabilities-will-rise-20-percent-this-year.html 作者: Maria Korolov 譯者: jasminepeng
