开源是一种精神,更是一种合作共赢的模式。不过如今的开源生态虽然得以让诸多的程序员、技术人们学习、修改以及以任何目的向任何人分发开源软件,但是这并不意味着足够的安全。在本文中,我们将从最新发布的《开源漏洞管理现状》中深入了解开源组件安全的现状与趋势。
作者
whitesource
译者
弯月,责编
屠敏
出品
CSDN(ID:CSDNnews)
以下为译文:
如今,使用开源已经成为一种主流的做法,如果没有开源,你就无法跟上当今软件生产的步伐。由于使用开源的人越来越多,因此开源的漏洞也急剧增加,这就需要各个开发团队解决日益剧增的开源安全问题。
在这份名为《开源漏洞管理现状》的报告中,我们将深入探查开源管理。为此,我们采访了多名开发人员,并从NVD、安全专家、业内漏洞审核数据库以及流行的开源问题追踪器等渠道收集了数据,这份报告将为您呈现开源安全管理的最新状况。我们的使命是,确定这个行业目前的状况,并了解未来几年的发展方向。
该报告有以下四点主要发现:
1.开源漏洞数量的急剧上升,给负责安全目标的开发和安全团队带来了严峻的挑战。
2.开发人员花费大量时间来解决开源漏洞,但由于缺乏标准实践和以开发人员为中心的工具,因此他们的效率非常低下。
3.开源漏洞的优先级策略对于确保公司按时解决最紧迫的问题至关重要。
4.可靠的开源漏洞修复优先级划分,可以将安全警报降低70%-80%。
开源安全漏洞数量在急剧上升
开源漏洞数量的急剧上升给负责安全目标的开发和安全团队带来了严峻的挑战。已发现的开源漏洞数量急剧飙升,截止到年,已有将近3,个漏洞。
根据我们从NVD、安全专家、业内漏洞审核数据库以及流行的开源问题追踪器收集到的数据表明,年发现的开源软件漏洞数量比年增长了50%以上。而且我们发现年这个数字还有继续上扬的趋势。
造成这一局面的原因可以归结为,随着开源组件的广泛采用,软件开发社区开始