現在諸多企業使用開源代碼的應用程序，原因當然是此程序有很多好處，其中包括它的透明度、靈活性以及它的成本效益和社區支持。但是這些產品的安全性如何保障呢？這就需要我們迅速發現這些安全漏洞，但是修補這些漏洞和應用修補程序卻是另一回事。事實上過時的開源組件在安全漏洞中也發揮了作用，所以大家不能忽視。為了讓大家免受開源漏洞的侵害，今天我們分享幾個技巧，如果您遇到了這樣的問題，也可以及時止損。

在營銷技術行業中看到的所有公司(包括潛在客戶生成的CRM和社交媒體)在其應用程序中都包含開源代碼。其中，95%的代碼庫具有開源漏洞。醫療保健部門中約98%的代碼庫包含開源，其中67%具有安全漏洞。

金融服務行業中約有97%的代碼庫包含開源，其中超過40%的代碼庫具有漏洞。零售和電子商務部門分析的代碼庫中有92%使用的是開源，其中71%的代碼庫存在安全漏洞。

許多安全漏洞是廢棄的開源組件的結果。過去兩年中，整整91%的代碼庫都具有開源依賴項，并且沒有開發活動，這意味著代碼沒有改進，也沒有安全補丁。

過去兩年中，超過90%的代碼庫使用的是開放源代碼，沒有開發活動，這不足為奇。與商業軟件不同，供應商可以將信息推送給用戶，而開源軟件則需要社區參與才能蓬勃發展。孤立項目并不是一個新問題，但是一旦發生，解決安全問題就變得更加困難。

過時的開源組件在安全漏洞中也發揮了作用。研究人員檢查的代碼庫中約有85%具有開源依賴項，這些依賴項已過時四年以上。這些組件受到發布安全修復程序的活躍開發人員社區的支持，但是商業客戶不一定會應用這些修復程序。

開源漏洞正在上升。2020年，具有易受攻擊的開源組件的代碼庫的比例達到84%，比2019年增加9%。與此同時，具有高風險漏洞的代碼庫的比例從49%上升到60%。2019年在代碼庫中發現的幾個頂級開源漏洞在2020年仍然存在。

為了幫助企業保護自己免受開源漏洞的侵害，研究人員分享了以下技巧：

1、創建您的開源資產清單。減少漏洞的暴露開始于完整的開源資產清單。理想情況下，每當部署新軟件或更新軟件時，都將更新此清單，以便您確定是否已正確修補所有內容。確保包括每個開源組件的來源，因為這將告訴您在哪里可以找到正確的補丁。

2、審查供應商如何處理補丁。當您購買新設備或應用程序時，請查看供應商如何發布軟件補丁。如果您不能自己確定，請與支持團隊聯系。

3、必要時考慮其他供應商。如果供應商無法為您提供幫助或似乎沒有在更新自己的產品，則可能是時候找到其他供應商了。如果供應商跟不上補丁程序，那么安全性可能就沒有得到應有的重視。

4、在應用安全修補程序之前，請先對其進行檢查。在應用任何安全補丁之前，請確保完全檢查它。這對于開源代碼尤為重要，因為開發人員不知道您的特定環境并且無法對其進行測試。

以上，我們介紹了關于開源程序安全漏洞和及時止損的方法，希望能夠對您的企業信息安全有所幫助。如果您想了解更多關于開源程序安全的相關信息，請您繼續關注中培偉業。