首页 > 其他分享 >警惕!91%的开源代码库存在无人维护的开源代码!

警惕!91%的开源代码库存在无人维护的开源代码!

时间:2023-11-16 15:55:52浏览次数:40  
标签:警惕 安全 91% 漏洞 开源 组件 软件 源代码

根据Synopsys发布的《2023开源安全和风险分析》报告显示:调研的软件系统中,有76%的软件包含开源软件组件。平均每个代码库由80%的开源代码组成,84%的代码库中包含至少一个已知开源漏洞,比2022年版的OSSRA报告增加了近4%。

另外,报告中也提到,审查的1481个含风险评估的代码库中 ,91%存在过去两年内未进行任何更新的开源代码。(未进行任何更新,即在过去24个月中未开展任何功能升级、代码改进和安全问题修复活动。)可见,开源代码缺乏更新维护,对开源项目安全性影响有多大。

*图源:Synopsys发布的《2023开源安全和风险分析》

据Synopsys报告表示:虽然诸如Kubernetes之类的重要项目仍有良好的维护支持,但也存在很多项目没有或仅由少数几个人进行维护。

Twitter 前开源负责人Will Norris就曾表示:

“在Twitter 从事开源工作的大多数关键人物都已经离开了。和我一起开发开源软件的所有工程师都不在了。随着新的管理层到位,新的业务优先事项出台,曾经备受重视的开源项目开始降级,取而代之的是管理层新确定的重点项目。”

目前,虽然Google等企业已经制定了相关的激励计划,来促进开源项目的稳定维护,但其他绝大多数企业依旧是没有任何激励举措,这也就导致了我们开发人员依赖的大多数基础性开源项目,如今变得无人维护。

而正如Synopsys的调研中所示:76%的软件包含开源软件组件,如今开发人员对开源组件/代码依赖程度之大。作为软件开发人员提升引用开源组件安全性就尤为重要。

想知道你引用的开源组件安全性如何吗?

推荐使用↓↓↓

 

网安云组件知识库检索工具

 

① 一键检索开源组件信息

通过网安云组件知识库检索功能,快速检索组件版本、漏洞等级、所属国家(来源)、所属语言、源码链接等信息。

掌握组件基本信息与漏洞等级,避免开源组件“背刺”。

 

平台拥有亿级组件知识库、40w+漏洞量、2000+许可数量。同时,平台安全运营人员实时监控几十类漏洞数据来源,包括:mvnrepository, central repository, npm, pypi等。漏洞数据来源权威,数据实时更新,让组件漏洞查询无遗漏。

② 明确漏洞信息,获取修复建议

明确漏洞编号、风险等级等,对组件安全状态清晰了解。

 

同时,可参考修复意见,获取漏洞编号及补丁获取地址,对漏洞进行修复,减少后续软件被攻破的风险。

 

③ 获取组件替换方案

根据组件使用建议的风险提醒,重新选择更安全的组件版本。

总的来讲,提升开源组件的安全可控性,最核心的就是把组件这个看不清摸不着的“黑盒子”拆开看。

通过网安云组件知识库检索的功能,把开源组件的安全风险隐患暴露出来。再根据系统提供的安全替换方案以及修复建议,重新做好组件选型或者修复,降低后续软件制品的安全风险。

标签:警惕,安全,91%,漏洞,开源,组件,软件,源代码
From: https://www.cnblogs.com/wanyunsecurity/p/17836476.html

相关文章

  • 2023年11月14号(学生选课管理系统源代码)
    今天将本周一的代码进行了bug修改和完善,下面是源代码四张数据库的内容与命名:主页面:<%@pagecontentType="text/html;charset=UTF-8"language="java"%><html><head><title>选课管理系统</title></head><body><tablebgcolor=&......
  • app直播源代码,JS 替换日期的横杠为斜杠
    app直播源代码,JS替换日期的横杠为斜杠例如1:   vardt="2010-01-05";      vardt=dt.replace("-","/");    //只替换第一个“-”:2010/01-05  alert(dt); ​例如2:   vardt="2010-01-05";     vardt=dt.replace(/-/g,"/&q......
  • 洛谷 P9129 [USACO23FEB] Piling Papers G
    第一问是简单的,\(2(n-1)-[T=1]\cdot\max\limits_{i=1}^{n}\{dep_i\}\)。对于第二问:设\(f(u)\)表示要求起点和终点均为\(u\)的情况下从\(1\)时刻开始遍历完以\(u\)为根的子树的最小花费,\(g(u)\)表示要求起点为\(u\),重点深度最大的情况下从\(1\)时刻开始遍......
  • 【题解】CF1891E - Brukhovich and Exams
    【题解】CF1891E-BrukhovichandExamshttps://www.luogu.com.cn/problem/CF1891E我们考虑把区间分段:若两个相邻的数不互素,中间分开;若两个相邻的数中有且仅有一个\(1\),中间分开。那么我们得到了两种区间:全\(1\)区间与无\(1\)区间。若两个相邻数在同一区间内,那么就在区间......
  • 世微 降压恒流 12V 5A 一切一双灯 LED汽车大灯驱动方案 AP5191
    AP5191是一款PWM工作模式,高效率、外围简单、内置功率MOS管,适用于4.5-150V输入的高精度降压LED恒流驱动芯片。输出功率150W,电流6A。AP5191可实现线性调光和PWM调光,线性调光脚有效电压范围0.55-2.6V.AP5191工作频率可以通过RT外部电阻编程来设定,同时内置抖频电路,可以降低对......
  • CF911G Mass Change Queries
    题目描述:给出一个数列,有q个操作,每种操作是把区间[l,r]中等于x的数改成y.输出q步操作完的数列.数据范围:\(1\len\le2\times10^5\)\(1\lea_i\le100\)\(1\leq\le2\times10^5,1\lel,r\len,1\lex,y\le100\)思路:观察数据范围,我们发现值域只有可怜的\(100\)所以一......
  • 191. 位1的个数
    目录题目错误解法bin内置函数直接用.count统计直接统计二进制中的每一位是否包含1消除二进制末尾的1题目编写一个函数,输入是一个无符号整数(以二进制串的形式),返回其二进制表达式中数字位数为'1'的个数(也被称为汉明重量)。示例1:输入:n=00000000000000000000000000001011......
  • 「题解」P6791 [SNOI2020] 取石子
    anti-game没有用,能取到\(n-1\)的必胜,不能取到\(n-1\)的必败,所以现在考虑取走最后石子获胜的情况。对于一个\(n\)来说合法的\(k\)一定是一个前缀,并且一定是贪心取最小的(留给对方的机会更小),所以启发将每个\(n\)最小的合法的\(k=a_n\)打出表来,找到最小的\(j\)满足\(......
  • P1910 L 国的战斗之间谍
    二维01背包的裸题#include<bits/stdc++.h>usingnamespacestd;intw[200],a[200],b[200];intf[2000][2000];intmain(){ intn,x,y; cin>>n>>x>>y; for(inti=1;i<=n;i++){ cin>>w[i]>>a[i]>>b[i]; } for(inti=1;i<=......
  • ORA-16191、ORA-01017 密码问题
    适用范围本文档描述适用于12.1版本及以上所有平台问题概述在搭建12CADG的过程中,主库alert日志报以下错误Tue0ct1020:05:312023Errorsinfile/xxdb/ordb/oracle/product/diag/xx/xx/xx2/trace/xx2_arc2_53921.trc:ORA-16191:Primarylogshippingclientnotloggedonst......