Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛的调查和深入的研究,得出了一些关于企业常用的自由开源软件(FOSS)的重要结论.潜在的安全风险。研究人员发现,由于FOSS组件缺乏标准化的命名方案,企业和其他利益相关者很难快速准确地识别可疑或易受攻击的组件。其次,他们还发现需要更安全地保护开发人员的帐户,这些开发人员积极为一些广泛部署的开源软件做出贡献。第三个发现是,与其他较旧的硬件或软件技术一样,开源社区中的遗留软件包越来越危险。《哈佛商学院》合著者FrankNagle教授说:“FOSS组件是几乎所有其他软件的基础,无论是开放软件还是专有软件,但我们对软件的常见用途或安全性的了解很少。考虑到免费开源的影响该软件可以对经济产生影响,但很少考虑支持和维护这一核心基础设施的系统性努力。”在这项研究中,来自Linux基金会和哈佛大学的研究人员分析了由Snyk和Synopsys网络安全研究中心等软件综合分析公司和应用安全公司提供的企业软件数据。在确定常用的开源软件时,研究人员考虑了FOSS软件包或组件与其他企业应用程序和系统之间可能存在的联系。目的是识别和衡量企业环境中常用的FOSS,了解软件的安全性等。FOSS组件几乎占目前企业使用的所有应用程序的80%到90%。尽管许多FOSS项目都经过了安全检查,但也有很多没有。研究人员在本周发布的一份报告中表示,在OpenSSL等贡献者基数较小的常用项目中,漏洞往往被忽视。随着对FOSS依赖的增加,政府、研究人员和组织通过审计、漏洞赏金计划、黑客马拉松和会议更好地了解开源软件的来源和安全性。“第一步是真正了解企业所依赖的FOSS组件。无论是通过定期安全扫描和代码审计,还是通过其数字产品中采用的软件材料清单,”Nagle说。TopProjectsandTopRisksTheLinuxFoundation与哈佛大学创新科学实验室的联合研究表明,企业内部最常用的10个FOSS包是async、inherits、isarray、kindof、lodash、minimist、native、qs、readable流和字符串解码器。研究人员还确定了最常用的非JavaScript包,其中包括com.fasterxml.jackson.core:jackson-core、com.fasterxml.jackson.core:Jackson-databind、com.google.guava:guava和commons-编解码器。在确定了最重要的项目后,研究人员开始寻找这些项目最活跃的贡献者,并确定了其中约75%的企业隶属关系。在研究过程中,研究人员发现七个最常用的开源软件项目中有七个托管在个人开发者账户上,其安全性低于企业账户。“个人账户的开发者控制和代码更改非常容易实现,并且可以在不被发现的情况下执行,”报告警告说。此外,据研究人员称,针对个人开发者账户的攻击正在上升,利用账户接管、后门和其他恶意代码等代码访问的风险越来越大。“如果此类个人帐户的存储库支持,则可以强制执行双因素身份验证,”Nagle说。用于个人帐户控制的通用FOSS的另一个风险是开发人员,他们有权决定删除帐户或删除有争议和分歧的代码。正确的。“一个更广泛和长期的解决方案是将此类项目转移到企业账户,而不是由个人账户控制,这有助于增强项目的责任感和未来的可用性,”Nagle指出。研究表明,FOSS组件需要有更好的命名约定。Nagle说,因为FOSS可以自由修改和复制,所以可以有多个版本、分支和类似名称的存储库。为了进一步确保安全性,重要的是要对正在使用的FOSS组件以及支持和维护工作达成共识。研究人员的另一项发现是,遗留的开源组件以及遗留的不受支持的软件或硬件版本都面临风险。例如,Nagle提到了2017年7月发布的常用PuTTYSSH软件的0.70版本。将近两年后,该软件的更新版本0.71直到2019年3月才发布。常用软件更新和像这样的检查可以解决代码库中存在20多年的安全问题。“
