2022 开源软件安全状况报告：超 41% 的企业对开源安全没有足够的信心

根据上周刚刚发布的两项研究显示，开源软件早已成为大多数应用程序的中坚力量，但它同时也为开发人员和安全团队带来了安全挑战，而这些挑战可以通过采用“安全左移”的方式解决。

开发者安全公司 Snyk 和 Linux 基金会的研究人员在他们的《2022 开源安全状况》报告中透露，超过 41%的组织对他们的开源安全没有足够的信心。报告中也表明在过去的三年中修复开源项目中的安全漏洞所需的时间一直在稳步增加，从 2018 年的 49 天到 2021 年的 110 天，增加了一倍以上。

开源之争：要高产还是注重安全？

一个基于 550 位受访者的调查显示，一个应用程序的开发项目中平均会有 49 个漏洞和 80 个调用开源代码的直接依赖项。而且，该报告还发现只有不到一半的企业（49%）会对开源软件的开发或者使用采取安全策略。更糟糕的是，在大中型企业中这个比例只有 27%。

“今天的软件开发商有他们自己的供应链，”Synk 开发者关系总监 Matt Jarvis 在一份声明中解释说，“与组装汽车零件类似，他们将现有的开源组件与他们自己的代码通过打补丁的方式组装起来。虽然提升了生产力，加快了创新，但也造成了重大的安全问题”。

安全左移能更早地暴露漏洞

AppSec 左移进展报告表明，通过将安全向“左”移或更接近软件开发生命周期的起点，可以实现更好的开源软件安全性。该报告基于用户对 ShiftLeft 核心产品的体验，发现 76%的新漏洞可以在两个 Sprint 周期内得到修复。

漏洞之所以能够快速修复的其中一个原因是它们在早期就已经被发现。“每个开发人员在代码中的更改都会在 90 秒之内扫描完成，”ShiftLeft CEO 和联合创始人 Manish Gupta 提到，“因为代码在开发人员脑海中仍历历在目，所以他们更容易修复漏洞。”

该报告承认扫描时间的缩短并不仅仅因为其软件得到了改善。“我们了解到应用程序的平均代码行数减少了”报告指出，“这与更多的组织转向微服务和更小、更模块化的应用程序的现状一致。”

增加对漏洞的扫描减少修复时间

ShiftLeft 的客户还发现，他们需要在自己应用程序中解决的开源软解漏洞数量下降了 97%，因为对手只能利用其中 3% 的漏洞。Gupta 指出，在分析开源软件漏洞时，重要的不是应用程序有多少漏洞，而是它们在哪里会被坏人利用。

ShiftLeft 还报告说，其客户将解决漏洞所需的平均时间降低了 37%，从 2021 年的 19 天下降到 2022 年的 12 天。报告中将这种下降归因于开发人员和安全团队在开发过程的早期进行更多的扫描。“我们的一些客户每月进行多达 30,000 次的扫描。” Gupta 提到。

是否每个漏洞都会被利用？

报告中还提出了一个问题：“攻击者是否真的可以触及到每个漏洞？”。这在处理 Log4j 这样的 0-Day 漏洞时非常重要，一些组织在 2021 年 12 月发现 Log4j 的几个月后仍在应对这一漏洞。报告中提到，在其客户的应用程序中使用的 96%的 Log4j 没有被攻击的风险。

补救不可利用的漏洞对风险的影响为零，因此企业应该降低此类漏洞的修复优先级，把注意力放在其他方面。

参考链接：

State of Open Source Security 2022

https://snyk.io/reports/open-source-security/

AppSec Progress Report 2022

https://www.businesswire.com/news/home/20220623005346/en/ShiftLeft-Releases-its-2022-AppSec-Progress-Report-2022