根据今天发布的一项调查,拥有开源软件(OSS)安全政策的组织往往在自我评估就绪性方面做得更好,而且他们通常有自己的专门团队来推动它。软件安全。周二,软件安全公司Snyk和LinuxFoundation发布了一项调查结果,发现在拥有开源软件安全政策的10家公司中,有7家认为他们的应用程序开发是高度安全或有些安全的。相比之下,在没有安全策略的组织中,只有45%的组织认为自己具有一定程度的安全性。Snyk开发者关系总监MattJarvis表示,开源软件对应用开发有很大的好处,但企业也必须认识到开源软件的缺点并做好准备。“虽然开源是一种经过验证的创新和构建高质量软件的机制,但它的成功也成为了自身的牺牲品,因为它的无处不在使其成为供应链攻击的重要目标,”他说。.组织需要加深对开源如何运作的理解,包括治理和代码,并通过采用开发人员优先的安全工具和方法来加强他们的供应链管理。”总体而言,只有大约一半的企业制定了开源安全政策来指导开发人员使用各种组件和框架,而更多的小公司(60%)要么没有相关政策,要么不知道他们是否有政策。报告指出,对于初创公司和小公司来说,经济方面的考虑往往会降低制定安全策略。报告指出:“拥有少量IT人员和预算的小型组织通常会优先考虑业务的功能需求,以便业务能够保持竞争力。”“缺乏资源和时间是组织不解决开放问题的主要原因sourcesoftwaresecuritybestpractices.”来源:《Addressing Cybersecurity Challenges in Open Source Software》报告研究表明,不同的编程语言也有不同的安全性。不同的安全考虑。例如,用.NET编写的应用程序修复缺陷的平均时间最长,为148天,其次是JavaScript,为49天。根据Snyk的说法,JavaScript应用程序的依赖项最多,每个项目平均有174个,大约是依赖项最少的语言Python的七倍,后者平均每个项目有25个。贾维斯说,虽然大的传递依赖树可能导致修复错误的迂回路径,但如果组织有办法跟踪不同项目之间的关系,那么高依赖不一定是劣势。“与其他生态系统相比,JavaScript包的范围往往更小,因此虽然数量可能更多,但用于审计潜在缺陷的代码可能更少。最重要的问题是你了解你正在使用哪些依赖项,特别是作为依赖项的依赖项引入的传递依赖项,这需要适当的安全工具来扫描这些项目。”不过数据也显示,不同的语言存在不同程度的脆弱性,比如用Java编写的。平均项目高危漏洞47个以上,中危漏洞28个以上,远高于排名第二的JavaScript平均18个和21个,Python平均20个。”数据,有很多因素在起作用,比如项目的复杂度、开发者的数量、受欢迎程度,都会对漏洞的数量和类型产生影响,那些受到开发者欢迎的项目,漏洞可能高达还有一些。”自动化=安全成熟度根据调查结果,虽然发现依赖项中的漏洞很重要,但大多数安全成熟度高的组织(即具有行业漏洞安全咨询(60%)、包中错误自动监控(60%)的组织)),来自包维护者的通知(49%)。自动化监控可以说是安全成熟度高的人与没有策略的人之间最显着的差距,与那些没有策略的人相比,只有38%的人使用某种自动监控38%的安全成熟度高这个比例达到60%.如果公司还没有开源软件安全政策,他们现在应该这样做,贾维斯说,作为加强他们的开发安全的一种方式,甚至是轻量级的政策是一个好的开始。“制定政策和表达意图之间存在相关性,我们认为政策是安全成熟度的合理起点,因为因为它表明组织已经意识到这些潜在的问题,并且已经在努力解决这些问题,”他说。“
