近期,一份来自安全测试公司的报告显示,开源领域的应用安全情况整体有所好转,但依然存在问题,包括开源代码的漏洞被利用,以及第三方代码库本身的风险。
上述发现出自 Veracode 发布的《软件安全报告(第12版)》,报告中所使用的数百万不同类型的数据来自 Veracode 的服务端和客户端,并对这些数据进行了静态分析、动态分析、软件组成分析和渗透测试。
PART ONE
开源代码缺陷更少,漏洞修复更快
报告称:「开源库仍然是一个令人担忧的安全因素」,这是一个长期存在,并持续至今的隐患,原因就在于开发者们的不良习惯。
大量开发者年复一年地使用同一个代码库,事实和经验证明,这会导致我们年复一年地遇到同样的安全漏洞
尽管如此,报告仍然认为,第三方开源代码库有不少优点,存在的缺陷更少,且问题能得到更快的解决:
好的一面是,第三方代码造成的安全漏洞,在修复的及时性上有显著改善。在 2017 年,一个安全漏洞从被发现,到 50 %的缺陷被解决的修复点,需要三年多的时间,现在只需要一年左右。
除此之外,报告还研究了安全漏洞的修复过程,并展望了安全应用的未来:「总体来说,应用安全情况有所好转,漏洞的影响范围整体也在下降。」
同时,Veracode 也指出,代码之间愈加紧密的连接,和分布式微服务的兴起,使得应用安全性变得更复杂了:
「造成这一情况的原因,除了代码之间更紧密的关联,还有竞争加剧和不断创新带来的影响」。为了加快进度,很多开发团队转向云原生技术、微服务架构和代码开源来优化他们的工作流。
此外,越来越多的开发团队采用敏捷开发,并在开发过程中尽可能多地使用自动化。
虽然这种演变缩短了软件开发生命周期,但同时也带来了新的复杂性和风险。
PART TWO
越来越多人使用安全扫描
报告中,有一些数据值得我们关注:
- 微服务:在 2018 年,大约有 20% 的应用包含多种语言。如今,只有不到 5% 的应用使用多种语言,更多的是小型的、单语言的应用或微服务。
- 使用安全扫描的应用数量增加了两倍:平均每季度扫描超过 17 个新应用程序,这个数字是十年的三倍多。
- 更多组织使用多种类型的安全扫描:在 2018 至 2021 年期间,使用多种扫描类型的用户增加了 31%,其中大部分增长来自使用全套静态、动态和 SCA 扫描的组织。
- 大多数开发人员年复一年地坚持使用相同的代码库:开发人员坚持使用久经考验的库,很少愿意尝试选择「最酷」或「最受欢迎」的库来重构他们的代码库。
PART THREE
敏捷开发「吞噬」世界
基于数据,Veracode 得出四个结论:
- 小型、模块化的敏捷开发已经「吞噬」世界。使用安全扫描的应用数量呈爆炸式增长;开发人员从每季度一次扫描他们的应用转变为每天一次,并采用更多不同的扫描技术。
- 免费和开源代码将继续成为开发者的福音与隐患。第三方代码库的使用趋势并未发生巨大变化,有明显缺陷的代码库被更少的使用,这是非常积极的。
- 应用在缓慢朝更安全的方向发展。这是整个分析过程中最令人振奋的。虽然随着时间的推移,某些安全漏洞的流行率有所增加,但趋势总体是下降的。因为漏洞修复的能力和速度并不是必然增加,所以希望这种趋势能持续下去,未来也将继续保持光明。
- 新的扫描工具的出现将继续改善应用安全环境。使用不同类型的安全扫描意味着开发者将更快、更完整地修复所有类型的缺陷。而将这些不同类型的扫描工具内置到集成管道和 IDE 中,会加速开发者的使用。
PART FOUR
小 结
在报告最后,Veracode 总结道:
安全漏洞像账单一样,随着时间推移而不断累积,尽早解决,就能减轻未来的工作量。使用多种类型的安全扫描——静态、动态或软件组合分析,可以更全面地了解应用的安全性,并有助于更快、更彻底地进行解决安全问题。■
英文链接:App Security Report: Open Source Code Still 'Blessing and a Curse' -- Virtualization Review
后台回复关键词「软件安全报告」,即可下载报告完整版PDF。
腾源会是腾讯云成立的汇聚开源项目、开源爱好者、开源领导者的开放社区,致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值,让全球开源生态变得更加繁荣。
欢迎关注「腾源会」公众号,期待你的「在看」哦~