C/C++ 最易受攻击、70% 漏洞无效,揭秘全球开源组件安全现状

2019-09-09 16:31 稿源:CSDN公众号  0条评论

优先级策略是管理开源漏洞的关键

开源漏洞的优先级策略对于确保公司按时解决最紧迫的问题至关重要。

考虑到安全团队每天都会收到警报,安全漏洞的低效补救措施已经成为了一个主要问题。

业内顶级专家一致认为,尝试解决每个问题是不现实的,优先级划分才是高效管理开源漏洞的关键。

绝对安全是不可能的。零风险也是不可能的。开发安全运营团队必须针对持续的风险建立信得过的评估系统,并划分应用程序漏洞的优先级。努力去除应用程序中所有潜在的漏洞换来的只是徒劳无功,这会降低开发人员的工作速度,浪费时间去追逐不真实的问题(误报),解决真实但没有直接影响的漏洞,以及不会被用到的低风险漏洞。

——成功的开发安全运营团队需要做好的十件事情, Neil MacDonald Gartner

调查结果显示,开发人员普遍缺乏标准化的最佳实践来确定开源漏洞的优先级。

结果还表明,开发人员在确立修复优先级时,通常都会参考现成的数据,例如应用程序的重要性或修复的实际效果。但是,开发人员划分优先级时参考的数据不一定是正确的数据。

与黑客较量时,时间至关重要。特别是对于开源项目而言,因为它的漏洞数据是公开的。

因此,缺乏确定漏洞优先级的实践将导致资源使用率的低下,还会让开发人员将时间投入到“错误”的漏洞上。

开发人员普遍缺乏划分开源漏洞优先级的标准实践

事实上,开发人员应该根据漏洞对产品安全性的影响程度,来确定开源漏洞的优先级。

易受攻击的功能不一定会导致项目易受攻击,因为私有代码不一定会调用易受攻击的功能。

只有根据漏洞的有效性确定漏洞是否会构成实际的风险,才能为安全和开发团队节省宝贵的时间。

在测试了2, 000 个Java应用程序之后,我们发现这些应用程序中检测到的漏洞中,有72%是无效的。

分析有效漏洞和无效漏洞表明了根据有效性划分优先级的重要性。数据表明,70%的开源漏洞警报都是无效漏洞。

根据我们调查中收集的数据,这相当于为每位开发人员每月节省10. 5 小时(每月 15 个小时*70%)。

采用优先级策略的组织可以更快地修复关键问题,从而节省宝贵的开发时间并提高产品的安全性。

有效使用率分析

可靠的开源漏洞修复优先级划分,可以将安全警报降低70%-80%。

最近我们推出了一种新技术,可以根据应用程序使用的方式确定开源漏洞的优先级——有效使用率分析。

我们对来自 12 个组织的 25 个商业应用程序进行了beta测试,结果表明:

我们分析的所有项目都至少有一个开源漏洞。平均而言,每个项目包含8. 2 个易受攻击的库。

90%的漏洞(有效和无效)出现在传递依赖中,准确地追踪开源库之间的依赖对于安全至关重要。

84%的开源漏洞警报都是无效的,对产品的安全性没有影响。

64%的项目仅包含无效的开源漏洞,因此不需要任何修复措施。

无效开源漏洞的数量表明,各个组织可以收回大部分投入到研究和修复开源漏洞的时间和精力。

由于有效使用率分析的技术可以将资源集中投入到需要即刻修复的有效漏洞上,因而可以帮助开发团队节省时间。很多团队领导和经理都证实了这项新技术:

  • 根据开源漏洞对项目安全性产生的影响分类,并通过可视化的方式表示出来,这样就可以轻松地确定开源漏洞的优先级。

  • 通过识别专有代码与开源漏洞中直接或间接调用的文件和代码行号,我们可以帮助开发人员修复开源漏洞。

  • 除了大幅减少了需要修复的漏洞外,还帮助开发人员节省了10%-20%的修复时间。

“这项新技术的最大优点在于,优先考虑哪些漏洞需要先修复。这种易于使用和扩展的技术可以帮助我们更轻松地解决产品中的漏洞。”

——IGT应用信息安全高级总监

原文:

https://www.whitesourcesoftware.com/open-source-vulnerability-management-report/#hero_section

本文为 CSDN 翻译,转载请注明来源出处。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多

关闭