愛樂網 - 即時 - 正文

無處不在的開源組件漏洞風險:Veracode發布2017年軟件安全報告

2018-02-28 10:13IT經理網 / 張霖

代碼安全和安全開發是信息安全的源頭,也是最重要的環節,但是随着開源組件的流行,開源組件漏洞正在對安全開發構成廣泛威脅。

随着敏捷開發和開源軟件的流行,開源組件如今是開發者的寵兒,研究顯示如今一個軟件中平均75%的軟件代碼都來自開源組件!但這些開源組件中的漏洞也帶來了巨大的安全風險。

Veracode最新發布的2017年軟件安全報告顯示,88%的Java應用包含至少一個含有漏洞的組件,容易遭受攻擊。而且由于組件(包括開源組件)往往被大量應用複用,一個組件的漏洞被挖掘利用,可導緻數以千計的使用該組件的應用面臨被攻擊風險。而隻有不到28%的企業會對軟件組件安全性進行常規審查。

事實上,過去12個月中對多個Java應用的回報豐厚的攻擊,根源都是流行開源商業組件中的漏洞所緻。其中一個典型的例子是今年3月份爆出的Struts-Shock漏洞,根據分析,使用Apache Struts 2代碼庫的Java程序中,68%都在使用一個含有遠程代碼執行漏洞(RCE)的版本,這直接導緻3500萬個網站面臨攻擊風險。

報告還顯示,大約53.3%的Java應用都在使用包含漏洞的Commons Collectins Component組件版本,即使到今天,開發者使用含有漏洞版本的比例依然沒有顯著下降。

開源組件漏洞已經成為軟件安全和開發安全最為頭疼的問題之一,根據FVeracode的SoSS報告,雖然很多企業都根據漏洞的嚴重程度安排修補優先級,但是即使是最嚴重的漏洞也很難得到高效率的修補,例如隻有22%的高危漏洞能夠在30天内得到修補。而黑客和國家組織又充分的時間利用漏洞入侵企業網絡。

報告原文下載:

此報告中行業領域的軟件安全調查數據,請點擊訪問Veracode的軟件安全報告查詢信息庫。

編輯:樂樂

版權與免責聲明:

凡未注明"稿件來源"的内容均為轉載稿,本網轉載出于傳遞更多信息的目的;如轉載稿涉及版權問題,請作者聯系我們,同時對于用戶評論等信息,本網并不意味着贊同其觀點或證實其内容的真實性;


本文地址:http://www.juhua425334.cn/news/2018/02/28/3829119.html

轉載本站原創文章請注明來源:愛樂網

點擊排行
焦點

90後創業者雷奇:越主動,越冷靜,越堅定

  開工大吉 A5營銷助力2018   與傳統電視相比,智能 ...詳情

數以百萬計的人将在2018年使用VR和AR

谷歌和蘋果在2017年為增強現實崛起奠定了基礎,數以億計的i ...詳情

攜程3月15日發布2017财年第四季度及全年财報

  新浪科技訊 北京時間10月19日晚間消息,攜程(Nasd ...詳情

内存什麼牌子的好?電腦内存條哪個牌子的最好?最新内存品牌排

目前在DIY電腦的硬件中,内存價格相對是最平穩的,價格也非常 ...詳情

無處不在的開源組件漏洞風險:Veracode發布2017年軟件安全報告

代碼安全和安全開發是信息安全的源頭,也是最重要的環節,但是随 ...詳情

CopyRight © 2019 www.juhua425334.cn, All Rights Reserved 愛樂網 版權所有

使用愛樂網前必讀 | 關于我們 | 免責聲明 | 隐私政策 | 版權聲明 | 聯系我們
http://m.juhua425334.cn|http://wap.juhua425334.cn|http://www.juhua425334.cn||http://juhua425334.cn