雖然開源軟件在開發人員和科技公司中日益受到歡迎,但最新報告披露了當前開源環境所存在的安全隱患。在最新《The State of Open-Source Security》報告中,開源代碼的無限制部署正逐漸成為一種安全風險。
開發者安全公司 Snyk 和 Linux 基金會的研究聲稱,超過三分之一的組織對其開源軟件的安全性沒有很高的信心。 Snyk 開發者關係總監 Matt Jarvis 談到這份報告時說:
今天的軟件開發人員擁有自己的供應鏈——他們不是組裝汽車零件,而是通過將現有的開源組件與其獨特的代碼拼湊在一起來組裝代碼。雖然這會提高生產力和創新,但它也帶來了重大的安全問題。
這份史無前例的報告發現了廣泛的證據,表明業界對當今開源安全的狀態還很幼稚。我們計劃與 Linux 基金會一起利用這些發現來進一步教育和裝備世界上的開發人員,使他們能夠繼續快速構建,同時保持安全。
該研究聲稱,一個應用程序開發項目平均有 49 個漏洞和 80 個直接依賴項。此外,修復開源項目漏洞所需的時間也在穩步增加。早在 2018 年,修復安全漏洞平均需要 49 天。2021年,開發一個補丁大約需要 110 天。
該報告稱,只有 49% 的組織制定了開源軟件開發或使用的安全策略。而且,對於大中型公司來說,這個數字僅為 27%。大約 30% 的組織甚至承認,他們的團隊中沒有人直接負責,甚至沒有解決開源安全問題。順便說一句,這些公司沒有專門的開源安全策略。