開源代碼成小程序開發(fā)便捷“工具” 謹(jǐn)慎使用規(guī)避漏洞風(fēng)險(xiǎn)

小程序打造了輕便又隨時(shí)可用的用戶體驗(yàn)，它無需獨(dú)立安裝，體積小、開發(fā)速度快、維護(hù)成本低，不存在兼容性問題，不但方便開發(fā)人員而且也方便用戶使用。隨著小程序使用需求增加，開發(fā)公司為了快速完成開發(fā)任務(wù)，往往會(huì)從網(wǎng)上選擇小程序開源代碼，其中不乏一些公司不了解相關(guān)開源許可規(guī)定，也不進(jìn)行代碼安全測(cè)試就直接拿來用。這么做雖然可以低成本高效率的開發(fā)應(yīng)用軟件，但拋開侵權(quán)問題不說，開源代碼背后隱藏的數(shù)據(jù)安全和隱私安全風(fēng)險(xiǎn)最后誰(shuí)來買單?

開源代碼庫(kù)存在安全漏洞

2019年5月，GitHub遭到了黑客的攻擊勒索，370多名用戶的源代碼和信息被名為“gitb ackup”的賬號(hào)刪除。與此同時(shí)，微軟開源開發(fā)平臺(tái)被黑客擦除了其392個(gè)代碼儲(chǔ)存庫(kù)。有分析稱，開源平臺(tái)遭受攻擊的原因是平臺(tái)上開發(fā)的應(yīng)用程序存在漏洞被黑客利用導(dǎo)致的。

Gartner的一項(xiàng)調(diào)查顯示，有99%的組織在其IT系統(tǒng)中使用了開源軟件。如今隨著敏捷開發(fā)與快速迭代的盛行，應(yīng)用軟件開發(fā)不再像從前那么單一，現(xiàn)在的開發(fā)代碼有很多代碼成分，除了自己編寫的部分之外，還包括開源代碼、代碼復(fù)用、商業(yè)應(yīng)用、第三方庫(kù)和外包開發(fā)。這種混雜的開發(fā)模式導(dǎo)致源代碼存在一定的安全風(fēng)險(xiǎn)。

根據(jù)Snyk公司發(fā)布的《2019 年開源安全現(xiàn)狀調(diào)查報(bào)告》顯示，“過去兩年內(nèi)應(yīng)用程序的漏洞數(shù)量增長(zhǎng)了88%，僅2018年包管理器(NPM )的漏洞數(shù)量就增長(zhǎng)了47%”。

開源軟件具有開放、共同參與、自由傳播等特性，一方面由于開發(fā)者自身安全意識(shí)和技術(shù)水平不足容易產(chǎn)生軟件漏洞，另一方面也無法避免惡意人員向開源軟件注入木馬程序?qū)嵤┸浖?yīng)鏈攻擊等安全風(fēng)險(xiǎn)引入行為從而對(duì)我們的數(shù)據(jù)安全造成威脅。

WhiteSource調(diào)查顯示，2019年公開的開源軟件漏洞數(shù)量激增至六千多個(gè)已報(bào)告漏洞，開源代碼漏洞數(shù)增加了近一半，96.8%的開發(fā)人員依賴于開源軟件，還經(jīng)常會(huì)出現(xiàn)不及時(shí)更新開源軟件漏洞補(bǔ)丁的現(xiàn)象。中國(guó)軟件供應(yīng)鏈安全分析報(bào)告顯示，一多半應(yīng)用項(xiàng)目中存在高危開源漏洞。這些存在于開源軟件中的安全漏洞很可能被利用，從而造成很大的損失。

開源漏洞多可怕?

開源組件存在漏洞時(shí)這個(gè)漏洞會(huì)迅速公布。本來公布漏洞是為了讓更多的人及時(shí)發(fā)現(xiàn)漏洞并進(jìn)行必要的修復(fù)，但與此同時(shí)，一些“圖謀不軌”的人也同樣可以看到這些信息。他們幾乎不需要付出太多努力，就能了解哪些組件更容易受到攻擊以及如何實(shí)施攻擊。然后簡(jiǎn)單的查找一下哪些公司的安全防護(hù)系統(tǒng)較差，安全意識(shí)薄弱，反應(yīng)遲鈍，就在漏洞被修復(fù)之前實(shí)施網(wǎng)絡(luò)攻擊。

使用開源代碼時(shí)如何規(guī)避漏洞風(fēng)險(xiǎn)?

避免不了使用開源代碼，那么開發(fā)應(yīng)用軟件使用到開源代碼時(shí)，該如何規(guī)避代碼漏洞風(fēng)險(xiǎn)?

1. 使用專業(yè)的開源代碼檢測(cè)工具(SCA)對(duì)代碼進(jìn)行檢測(cè)，通過檢測(cè)確認(rèn)代碼組成成分，進(jìn)而檢查代碼的合規(guī)性風(fēng)險(xiǎn)及安全漏洞風(fēng)險(xiǎn);

2. 在代碼測(cè)試過程中，通過靜態(tài)代碼檢測(cè)工具(SAST)、模糊測(cè)試等方式及時(shí)發(fā)現(xiàn)代碼中的缺陷，提高代碼質(zhì)量。

隨著開源代碼的使用率越來越高，開源軟件的安全漏洞潛在的風(fēng)險(xiǎn)越來越大，一旦安全漏洞爆發(fā)，影響范圍將是一個(gè)行業(yè)甚至社會(huì)的正常運(yùn)轉(zhuǎn)。借助高效恰當(dāng)?shù)陌踩芾砉ぞ?，?jǐn)慎合理使用開源代碼，既可以避免開源代碼侵權(quán)，避開代碼安全漏洞等開源管理風(fēng)險(xiǎn)事情的發(fā)生，同時(shí)也可以節(jié)省應(yīng)用軟件開發(fā)成本，提高開發(fā)效率，提升數(shù)據(jù)安全抵御網(wǎng)絡(luò)攻擊的能力，從而贏得市場(chǎng)競(jìng)爭(zhēng)。

參讀鏈接：

https://www.woocoom.com/b021.html?id=445abf54736d4fbf88aa8f4315b8b131

http://www.gjbmj.gov.cn/n1/2020/1127/c411033-31947310.html