軟體開發者的選擇　開源漏洞風險的真相

編譯／Cynthia

全球在2023年面臨了嚴重的數位風險，軟體供應鏈攻擊的次數大幅增加，比2019至2022年的總和還多。根據Sonatype的統計，2023年共有245,032個惡意軟體，令人憂慮的是每八個開源軟體下載中就有一個存在已知風險，而這些風險其實是可以避免的，好消息是幾乎所有的漏洞（高達96％）都可以預防。在2023年，有已知漏洞的21億次開源軟體下載本來是可以避免的，因為有更好的、已修復的版本可供使用，這個比例與2022年持平。值得強調的是，開源軟體的安全性主要取決於軟體開發者的選擇，而不是開源軟體的維護者。

開發者的關鍵決策

雖然開發者在選擇使用開源軟體時扮演關鍵角色，但我們必須明白，現在有太多的選擇，而且並非所有選擇都一樣優秀和安全。目前只有約11％的開源專案得到積極維護。這代表著我們需要更謹慎地挑選我們所依賴的開源軟體，確保它們有著安全的生態系統和及時的維護。

更多新聞：ChatGPT私密對話為何外洩？OpenAI：開源資料庫程式錯誤

雖然開源維護者非常努力，但我們不能僅僅依賴於他們的努力。軟體開發者需要成為更明智的決策者，同時獲得適當的工具，以幫助他們更有目標地挑選開源軟體。我們的目標是讓開發者更有意識地從擁有最多維護者和最健康的生態系統的專案中下載軟體，這不僅能創造更安全的軟體，還能每年節省近兩週的開發時間。

安全性與實際情況的落差

儘管軟體供應鏈攻擊的風險持續上升，但全球的組織對於軟體安全性的實際狀況存在著誤判。有67％的受訪者認為他們的應用程式不依賴已知易受攻擊的程式庫或模組，但實際上，有近10％的組織在過去12個月中曾因開源漏洞而遭受安全事件的影響。這顯示了我們對開源漏洞的了解與實際情況存在嚴重脫節。

而在發現和處理開源漏洞方面，許多組織並不足夠迅速。報告顯示，有39％的組織需要一到七天才能發現漏洞，而有29％需要超過一週，對於漏洞的解決，36.2％的受訪者需要超過一週的時間。這種情況迫使我們重新評估對軟體安全性的認知，以確保我們的應用程式不會成為攻擊者的目標。

開發者推動進步的關鍵

若能持續維護開源專案，將在軟體安全性方面表現卓越。相較於未得到足夠維護的程式庫，獲得穩定維護的專案在靜態應用程式安全測試（SAST）、簽名發布、依賴更新工具、程式碼審查和分支保護等方面的表現高出數倍。

優秀的依賴管理不僅可以節省時間和金錢，還能減少安全風險。將最佳的升級策略和依賴管理結合起來，一年內可減少25％的誤報，節省兩倍的時間，同時減少元件升級和高風險漏洞處理的成本。開發者在推動軟體進步方面扮演關鍵角色，但我們也需確保他們具備足夠的工具和資源，以因應不斷變化的安全挑戰。

未來之路

全球正面臨著日益嚴重的軟體供應鏈攻擊挑戰，但這不是一個無法克服的難題。我們應該集中精力提升開發者的決策能力，增強對開源漏洞的警覺性，並借助先進的技術提高軟體開發的效率。數位安全關乎我們的未來，我們應該攜手努力，建立更加安全和穩固的軟體生態系統，確保我們的數位環境充滿信心和機遇。

資料來源：Help Net Security

瀏覽 2,132 次