美国研究表明管理员在修补高防云服务器方面做得很糟糕

 云服务器     |      2019-09-25 10:02:38

  据美国统计开源已经接管了高防云服务器端的工作,但是管理员正在做糟糕的工作来保持该软件的修补程序和最新状态。

  开源安全审核软件开发商Black Duck Software发布了年度年度开源安全和风险分析报告,该报告发现企业开源中充满了安全漏洞和合规性问题。

  根据这项研究,去年公司扫描的应用程序中有96%发现了开源组件,每个应用程序中平均有257个开源代码实例。

  开源代码库的平均百分比上升到57%,而上一年仅为36%,在一年中增长了相当多。现在,许多应用程序包含的开源代码比专有代码更多。

  但是,高防云服务器检查的代码库中有78%包含至少一个未修补的漏洞,每个代码库平均有64个已知漏洞。在物联网中,77%的代码是开源的,审核发现每个应用程序平均有677个漏洞。2017年报告了超过4,800个开源漏洞,但这涵盖了所有开源应用程序和操作系统。

  作者指出,商业软件和开源软件之间的主要区别在于补丁的处理方式。Windows用户对此非常了解,因此会自动向用户推出对商业软件的更新。开源不这样做。您必须手动检查更新,即使只是运行补丁/更新检查器也是如此。

  而且由于有许多重要的开源产品(例如开发人员工具),因此很难跟踪您使用的所有内容。作者写道:“开源可以通过多种方式输入代码库,不仅可以通过第三方供应商和外部开发团队,还可以通过高防云服务器内部开发人员。” “如果一个组织不知道其使用的所有开放源代码,那么它就无法防御针对这些组件中已知漏洞的常见攻击,并使自己面临许可证合规性风险。”

  例如,审计软件在40%扫描的高防云服务器应用程序中找到了Bootstrap,这是一个用于使用HTML,CSS和JavaScript开发的开源工具包,其次是jQuery,占36%。同样值得注意的是Lodash,这是一个JavaScript库,可为编程任务提供实用程序功能。报告称:“ Lodash成为医疗,物联网,互联网,营销,电子商务和电信等行业使用的应用程序中最常用的开源组件。”

  这是否意味着您的开源应用程序充满了漏洞?如果您一直擅长于修补系统,则可能不会。该报告发现人们并没有修补他们的系统。那就是问题所在。

  他们让问题解决了好多年。Black Duck发现平均漏洞存在六年之久,经过审计的代码库中仍有4%包含Heartbleed,这是四年前每个人都在谈论的漏洞。

  现在,Black Duck靠销售审计软件为生,因此听到它敲响警钟并不奇怪。但是事实是一件固执的事情。六年来都没有人可以取消应用程序的更新。我可以看到这种态度的来历。很多人都认为开源软件是一劳永逸的。您可以部署它,而不必理会它。

  在最长的时间内,免费的开放源代码软件社区一直认为它的软件在本质上会更好,因为它的代码是开源的,而且每个人都可以查看它,因此可以更快地发现错误。令人流血的想法浪费了这个想法,这些发现当然不支持该想法。