开源软件安全度走向成熟 企业该如何制定安全战略
发布时间:2022-09-03 23:47:36 所属栏目:安全 来源:互联网
导读:根据近日发布的一项调查结果显示,那些制定了开源软件(OSS)安全策略的企业,往往在自我评估就绪程度方面有更好的表现,而且他们通常都有自己专门的团队负责推动软件安全性。 本周二,软件安全公司Snyk和Linux Foundation公布了一项调查结果,发现那些制定
|
根据近日发布的一项调查结果显示,那些制定了开源软件(OSS)安全策略的企业,往往在自我评估就绪程度方面有更好的表现,而且他们通常都有自己专门的团队负责推动软件安全性。 本周二,软件安全公司Snyk和Linux Foundation公布了一项调查结果,发现那些制定了开源软件安全策略的企业中,10家有7家认为他们的应用开发是高度安全的、或者有一定安全性的。相比之下,那些尚未制定安全策略的企业中,只有45%认为自己是有某种程度的安全性的。 Snyk公司开发者关系总监Matt Jarvis表示,开源软件对应用开发有很大的好处,但企业也必须认识到开源软件的缺点并为此做好准备。 研究表明,对不同的编程语言也要有不同的安全考量,例如用.NET编写的应用修复缺陷的平均时间最长,为148天,其次是JavaScript的49天。 JavaScript依赖项众多导致的问题 JavaScript应用的依赖项最多,根据Snyk的数据,每个项目平均有174个——大约是依赖项最少的Python语言的7倍,后者平均每个项目有25个。 Jarvis说,虽然大型传递依赖树可能会导致修复漏洞路径迂回,但如果组织有办法跟踪不同项目之间的关系,那么依赖性高并不一定是个劣势。 “与其他生态系统相比,JavaScript包的范围往往更小,因此虽然数量更多,但用于审计潜在缺陷的代码可能更少。最重要的问题是,你要了解你正在使用哪些依赖项,特别是作为依赖项的依赖项引入的传递性依赖项,这就要使用适当的安全工具来对这些项进行扫描。” 然而数据还表明,不同的语言的缺陷程度也有所不同,例如用Java编写的项目平均有超过47个高危漏洞和28个中危漏洞,远高于排名第二的JavaScript,后者平均有18个和21个漏洞,Python平均有20个。 “在数据中,有很多因素在起作用,例如项目的复杂性、开发人员的数量和受欢迎程度,这些都会对漏洞的数量和类型产生影响。那些备受开发者欢迎的项目,可能漏洞就更多一些。” 自动化=安全成熟度 根据调查结果显示,尽管发现依赖项中的漏洞很重要,但大多数安全成熟度比较高的企业(也就是那些制定了开源软件安全策略的企业)主要依赖于行业漏洞咨询(60%)、自动监控包中错误(60%)、来自包维护者的通知(49%) )。 自动化监控可以说是那些安全成熟度高的企业和那些没有策略的企业之间一个最显着的差距,那些没有策略的企业中,只有38%使用某种自动监控,而安全成熟度高的企业这一比例达到了60%。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号