2021 年软件安全报告：代码开源，福“祸”相依？

近期，一份来自安全测试公司的报告显示，开源领域的应用安全情况整体有所好转，但依然存在问题，包括开源代码的漏洞被利用，以及第三方代码库本身的风险。

上述发现出自 Veracode 发布的《软件安全报告（第 12 版）》，报告中所使用的数百万不同类型的数据来自 Veracode 的服务端和客户端，并对这些数据进行了静态分析、动态分析、软件组成分析和渗透测试。

一、开源代码缺陷更少，漏洞修复更快

报告称：「开源库仍然是一个令人担忧的安全因素」，这是一个长期存在，并持续至今的隐患，原因就在于开发者们的不良习惯。

大量开发者年复一年地使用同一个代码库，事实和经验证明，这会导致我们年复一年地遇到同样的安全漏洞

尽管如此，报告仍然认为，第三方开源代码库有不少优点，存在的缺陷更少，且问题能得到更快的解决：

好的一面是，第三方代码造成的安全漏洞，在修复的及时性上有显著改善。在 2017 年，一个安全漏洞从被发现，到 50 %的缺陷被解决的修复点，需要三年多的时间，现在只需要一年左右。

除此之外，报告还研究了安全漏洞的修复过程，并展望了安全应用的未来：「总体来说，应用安全情况有所好转，漏洞的影响范围整体也在下降。」

同时，Veracode 也指出，代码之间愈加紧密的连接，和分布式微服务的兴起，使得应用安全性变得更复杂了：

「造成这一情况的原因，除了代码之间更紧密的关联，还有竞争加剧和不断创新带来的影响」。为了加快进度，很多开发团队转向云原生技术、微服务架构和代码开源来优化他们的工作流。此外，越来越多的开发团队采用敏捷开发，并在开发过程中尽可能多地使用自动化。

虽然这种演变缩短了软件开发生命周期，但同时也带来了新的复杂性和风险。

二、越来越多人使用安全扫描

报告中，有一些数据值得我们关注：

• 微服务：在 2018 年，大约有 20% 的应用包含多种语言。如今，只有不到 5% 的应用使用多种语言，更多的是小型的、单语言的应用或微服务。

• 使用安全扫描的应用数量增加了两倍：平均每季度扫描超过 17 个新应用程序，这个数字是十年的三倍多。

• 更多组织使用多种类型的安全扫描：在 2018 至 2021 年期间，使用多种扫描类型的用户增加了 31%，其中大部分增长来自使用全套静态、动态和 SCA 扫描的组织。

• 大多数开发人员年复一年地坚持使用相同的代码库：开发人员坚持使用久经考验的库，很少愿意尝试选择「最酷」或「最受欢迎」的库来重构他们的代码库。
  

三、敏捷开发「吞噬」世界

基于数据，Veracode 得出四个结论：

1. 小型、模块化的敏捷开发已经「吞噬」世界。使用安全扫描的应用数量呈爆炸式增长；开发人员从每季度一次扫描他们的应用转变为每天一次，并采用更多不同的扫描技术。

2. 免费和开源代码将继续成为开发者的福音与隐患。第三方代码库的使用趋势并未发生巨大变化，有明显缺陷的代码库被更少的使用，这是非常积极的。

3. 应用在缓慢朝更安全的方向发展。这是整个分析过程中最令人振奋的。虽然随着时间的推移，某些安全漏洞的流行率有所增加，但趋势总体是下降的。因为漏洞修复的能力和速度并不是必然增加，所以希望这种趋势能持续下去，未来也将继续保持光明。

4. 新的扫描工具的出现将继续改善应用安全环境。使用不同类型的安全扫描意味着开发者将更快、更完整地修复所有类型的缺陷。而将这些不同类型的扫描工具内置到集成管道和 IDE 中，会加速开发者的使用。
   

四、小结

在报告最后，Veracode 总结道：

安全漏洞像账单一样，随着时间推移而不断累积，尽早解决，就能减轻未来的工作量。使用多种类型的安全扫描——静态、动态或软件组合分析，可以更全面地了解应用的安全性，并有助于更快、更彻底地进行解决安全问题。■

英文链接：App Security Report: Open Source Code Still 'Blessing and a Curse' -- Virtualization Review

腾源会是腾讯云成立的汇聚开源项目、开源爱好者、开源领导者的开放社区，致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值，让全球开源生态变得更加繁荣。微信公众号搜索「腾源会」，第一时间获取开源资讯与洞察。