IT之家 2 月 日消息,根据 Black Duck 发布的《 开源安全和分析报告》,商业代码库中广泛使用高风险和过时的开源软件组件,导致安全漏洞频发。
IT之家注:该报告分析了 个行业的 个商业代码库,发现 % 的代码库包含开源组件,% 的代码库包含易受攻击的开源组件,过时的 jQuery 库漏洞尤为突出,此外依赖关系复杂化和许可证冲突加剧了风险。
自 年以来,每个应用程序中的平均开源文件数量增加了两倍,从 个跃升至 个,% 的代码库包含高危或严重漏洞。
十大最常见的高危漏洞中有八个出现在 jQuery JavaScript 库中,超过三分之一的代码库存在 CVE- 和 CVE- 这两个跨站脚本(XSS)漏洞。这些漏洞的补丁早在 年 4 月就已发布,但仍广泛存在于商业代码库中,凸显了过时开源软件的风险。
% 的开源组件是传递依赖项,近一半的高危和严重漏洞源于传递依赖项。这种多层依赖关系也带来了法律风险,近 % 的许可证冲突来自传递依赖项。总体而言,% 的代码库存在许可证冲突,可能引发法律问题并导致产品上市延迟。
% 的代码库使用超过四年未更新的开源组件,% 使用两年内未进行新开发的组件,% 使用比最新版本落后 个以上版本的组件。
Black Duck 建议组织通过关注项目网站和代码库、使用包管理器、自动化监控工具和版本跟踪工具等方式,及时了解高危漏洞。虽然保持所有软件组件 % 最新可能不切实际,但主动管理和修复已知漏洞至关重要。