根据上周刚刚发布的两项研究显现,开源软件早已成为大多数应用程序的中坚力量,但它同时也为开发人员和安全团队带来了安全应战,而这些应战能够经过采用“安全左移”的方法处理。

开发者安全公司 Snyk 和 Linux 基金会的研究人员在他们的《2022 开源安全情况》陈述中透露,超越41%的安排对他们的开源安全没有足够的决心。 陈述中也标明在曩昔的三年中修正开源项目中的安全缝隙所需的时刻一直在稳步添加,从2018年的49天到2021年的110天,添加了一倍以上。

开源之争:要高产还是重视安全?

一个根据 550 位受访者的调查显现,一个应用程序的开发项目中平均会有49个缝隙和80个调用开源代码的直接依赖项。 并且,该陈述还发现只要不到一半的企业(49%)会对开源软件的开发或者运用采取安全策略。更糟糕的是,在大中型企业中这个比例只要27%。

“今日的软件开发商有他们自己的供应链,”Synk 开发者关系总监 Matt Jarvis 在一份声明中解释说,“与拼装汽车零件相似,他们将现有的开源组件与他们自己的代码经过打补丁的方法拼装起来。尽管提升了生产力,加快了创新,但也造成了严重的安全问题”。

安全左移能更早地暴露缝隙

AppSec 左移发展陈述标明,经过将安全向“左”移或更接近软件开发生命周期的起点,能够完结更好的开源软件安全性。该陈述根据用户对 ShiftLeft 中心产品的体验,发现76%的新缝隙能够在两个 Sprint 周期内得到修正。

缝隙之所以能够快速修正的其间一个原因是它们在早期就已经被发现。“每个开发人员在代码中的更改都会在90秒之内扫描完结,”ShiftLeft CEO 和联合创始人 Manish Gupta 说到,“由于代码在开发人员脑海中仍记忆犹新,所以他们更简单修正缝隙。”

该陈述承认扫描时刻的缩短并不只是由于其软件得到了改进。“咱们了解到应用程序的平均代码行数减少了”陈述指出,“这与更多的安排转向微服务和更小、更模块化的应用程序的现状一致。”

添加对缝隙的扫描减少修正时刻

ShiftLeft 的客户还发现,他们需要在自己应用程序中处理的开源软件缝隙数量下降了97%,由于对手只能使用其间 3% 的缝隙。Gupta 指出,在剖析开源软件缝隙时,重要的不是应用程序有多少缝隙,而是它们在哪里会被坏人使用。

ShiftLeft还陈述说,其客户将处理缝隙所需的平均时刻降低了37%,从2021年的19全国降到2022年的12天。陈述中将这种下降归因于开发人员和安全团队在开发过程的早期进行更多的扫描。“咱们的一些客户每月进行多达30,000次的扫描。” Gupta 说到。

是否每个缝隙都会被使用?

陈述中还提出了一个问题:“进犯者是否真的能够触及到每个缝隙?”。这在处理 Log4j 这样的 0-Day 缝隙时非常重要,一些安排在2021年12月发现 Log4j 的几个月后仍在应对这一缝隙。陈述中说到,在其客户的应用程序中运用的96%的 Log4j 没有被进犯的风险。

弥补不可使用的缝隙对风险的影响为零,因而企业应该降低此类缝隙的修正优先级,把注意力放在其他方面。

参考链接:

State of Open Source Security 2022 snyk.io/reports/ope…

AppSec Progress Report 2022 www.businesswire.com/news/home/2…