报告揭示商业代码库广泛使用高风险开源软件,安全漏洞频发
时间:2025-03-05 03:50
小编:小世评选
根据最新发布的《2025 开源安全和分析报告》,由 Black Duck 的研究团队进行的深度分析揭示了商业代码库中高风险开源软件组件的普遍存在,这一现象正导致频繁的安全漏洞事件。如同潮水般涌现的开源软件在为商业应用提供便利的同时,也将安全隐患深埋于其中。
高风险开源软件的普遍性
报告指出,在对16个行业的965个商业代码的分析中,惊人地发现97%的代码库都包含着各种形式的开源组件。其中,已知存在的高风险和过时的软件库,尤其是 jQuery 库的漏洞,成为了最受关注的话题。虽然 jQuery 作为一种流行的 JavaScript 库,促进了前端开发的便捷性,但其遗留的安全漏洞未能得到及时修补,给开发者带来了隐患。
漏洞加剧的现状
自2020年以来,应用程序中的平均开源文件数量已经有了翻倍的成长,从5386个跃升至16082个。伴随而来的却是61%的代码库中包含高危或严重级别的漏洞。尤其在十大最常见的高危漏洞中,八个均与 jQuery JavaScript 库相关,显示出这一库的安全性亟待提升。尤其是两个关键的跨站脚本漏洞(CVE-2020-11023 和 CVE-2020-11022),它们的补丁早在2020年4月就已发布,但至今仍在许多商业代码库中广泛存在,这一现象将过时开源软件的风险暴露无遗。
复杂的依赖关系与法律风险
更令人担忧的是,当前大量开源组件的依赖关系呈现出复杂化趋势。报告显示,64%的开源组件是传递依赖项,而这些传递依赖项其实也可能隐藏着高危和严重的漏洞。近一半的高危及严重漏洞均来源于这些传递依赖项。同时,复杂的依赖关系还带来了法律风险,近30%的许可证冲突恰恰源于这些依赖关系。整体而言,56%的代码库都面临许可证冲突的问题,这不仅会引发法律纠纷,还可能导致产品上市延误,损害企业竞争力。
软件版本的滞后性
在高风险软件的使用情况中,另一个不容忽视的事实是,许多代码库长期依赖未更新的开源组件。报告显示,90%的代码库依赖于超过四年未进行更新的开源软件组件,而91%使用的是两年内没有进一步开发的组件。更有90%的代码库依赖于落后于最新版本十个以上版本的组件。这样的现象加剧了安全隐患的可能性。
应对措施
面对如此严峻的安全现状,Black Duck 向各组织提出了一些建议,以增强对高危漏洞的监控和管理。组织应定期关注相关项目的网站及代码库,掌握其中的安全动态;合理使用包管理器和自动化监控工具,对于已知的漏洞进行实时监控和跟踪。尽管保持所有软件组件100%最新可能在实际中难以实现,但主动管理和及时修复已知的安全漏洞显然是每个组织必须采取的关键措施。
随着开源软件的迅猛发展,其带来的安全隐患同样不容忽视。企业在享受开源代码便利的同时,更应正视随之而来的漏洞和法律风险。通过主动的监控和管理,企业能够更好地保障自身产品的安全和合规性,从而在竞争激烈的市场中稳步前行。未来,维护开源软件安全、降低风险将是各个组织义不容辞的责任和挑战。借此契机,企业应当重视开源软件的更新和维护,以保障自身及用户的信息安全。
