IT業界資訊媒體

【算多定算少?】調查:八份一開源組件含漏洞

試問今時今日有幾多個程式開發員唔用開源組件,DevOps 當道,唔用 Open source 跟本追唔上進度,據開源組件服務公司 Sonatype 估計,現時嘅 application 之中,有 80% 至 90% 係利用開源組件製作,然而,越多人用,萬一出事就可能越多人中招,開源組件盛行衍生出更大的安全問題。調查報告就指出,去年被下載的開源組件中,有八份一含漏洞,比去年大升 120%

單在英國,有漏洞嘅 Apache Commons Collections 就錄得 14 5 千次下載;被利用來挖礦嘅  Bouncy Castle 問題版本錄得 6 8 千次;而導致 Equifax 資安事故嘅 Apache Struts 問題版本,約有 4 萬個下載,當中不乏 Global Fortune 100 企業。如果無更新返個安全版本,後果可以好嚴重,報告中,就話近四份一企業資料外洩與開源組件漏洞有關。

不過,調查指出,所謂「精英」(eliteDevSecOps program 宣稱已經有個 cybersecurity response plan,但比率由 81% 跌至 62%。實情係,依家個個都以趕住投胎嘅速度去做 Apps,開源組件有漏洞又唔係新聞,根本就顧唔到咁多漏洞及安全問題。所以呢班「精英」大多會用上自動化程式協助管理,善用新技術必定係 DevSecOps 嘅王道,如果,有 budget 的話。

資料來源:https://bit.ly/2Ex8cSOhttps://bit.ly/2GZKMcg