每1000行代码有14个安全缺陷,开源软件的安全令人堪忧

2020 年 4 月 08 日

每1000行代码有14个安全缺陷,开源软件的安全令人堪忧

当今,开源软件已经成为软件世界的重要组成部分。根据 Gartner 统计,99% 的组织在其 IT 系统中使用了开源软件。

今年 3 月,安全公司 WhiteSource 发布了一份《开源安全年度报告》。报告表明,2019 年,公开披露的开源安全漏洞数量再创新高,总数为6100 个。与2018 年相比,开源安全漏洞的数量增长近50%。这份报告表明,开源软件的安全问题非常严重。

更关键的是,开源软件的安全不仅关系自身,而且影响整个现代软件开发。“可以说,现代软件大多数是被‘组装’出来的,不是被‘开发’出来的”。事实上,现代软件开发越来越像工业生产和制造,原材料就是开源软件,加上自己写的业务代码,最后“组装”出一个软件系统。

在奇安信代码安全事业部总经理黄永刚看来,开源软件已经成为构建网络空间最基础的“砖头瓦块”,无处不在。“开源软件已经成为信息系统开发和建设的核心基础设施,开源软件安全问题应该上升到基础设施安全的高度来对待。”他说。

从OpenSSL“心脏出血”漏洞说起

2014 年,开源软件 OpenSSL Heartbleed(心脏出血)漏洞席卷全球。该漏洞不仅让整个中国互联网为之一颤,而且导致全球超过三分之二的网站“心脏出血”,可谓影响深远。据悉,这个 bug 非常严重,导致全球互联网大量私钥和其他加密信息处于暴露危险下,受影响严重的系统甚至可以从服务器中直接获取用户密码。

原文链接:【 https://www.infoq.cn/article/7LxAlkslCBOgtdl8qITl 】。未经作者许可,禁止转载。

登录后可解锁全站优质内容

免费畅享技术公开课、顶尖技术团队访谈、一线互联网大厂技术实践

文章
视频
电子书
研究报告
立即登录
2020 年 4 月 08 日 07:00 3260
用户头像
万佳 InfoQ编辑

发布了 153 篇内容,共 2956 次阅读,收获喜欢 0 次。

关注

评论 1 条评论

发布
用户头像
的确开源软件的维护和安全性在一些方面不及专业性的软件,着体现了开源软件社区的重要性,我们应该推动社区的建设和运营。

2020 年 04 月 08 日 17:46
回复
没有更多评论了
发现更多内容

anyRTC推流小助手-客户端推流(PUSH RTMP)工具

anyRTC开发者

技术 音视频 WebRTC 直播 RTC

分布式追踪系统原理看不懂,40张图带你亲手实践

小Q

Java 架构 面试 分布式 系统设计

阿里架构师耗时三个月整理的Spring实战笔记:入门到实战

Java架构师迁哥

GO 语言超时实现

Dnnn

go

遇到银河提现不了网站维护审核怎么办?

丛林里的余光

数据库 网站平台 提现

GO 语言交叉编译

Dnnn

go

URL 去重的 6 种方案!(附详细实现代码)

王磊

Java

起飞!这份技术点拉满的ELk+Lucene笔记,可能价值百万

小Q

Java lucene elasticsearch 架构 面试

GO语言 MD5 四种实现方式

Dnnn

go

聊聊开发工程师如何转型产品经理

长沙造纸农

程序员 开发者 产品经理 转型 中年危机

如何设计Upload组件思考

赵孔磊

Go语言 sync.Mutex 源码分析

Dnnn

go

epoll的原理和流程

Dnnn

Redis哨兵(sentinel )机制讲解

Dnnn

教师节送什么老师最开心?程序员三招解决家长送礼难题!

华为云开发者社区

编程 程序

居然有人仅凭这份《Java面试宝典》就成功拿到了阿里、京东、字节跳动等大厂offer

Java成神之路

Java 编程 程序员 面试

GO 语言异常处理

Dnnn

go

bit比特, Byte字节,基础知识

Dnnn

程序员快乐器之JAVA代码生成工具

Learun

敏捷开发 快速开发 生成代码

实战解析丨如何对Mysql连接请求的tcpdump内容进行分析

华为云开发者社区

TCP/IP 数据传输

马云:今天的区块链并没有被人们认识到价值!

CECBC区块链专委会

区块链 阿里巴巴 马云

Centos 上配置大数据环境

yuanhang

大数据

或许是史上最好的AQS源码分析了,AQS基础一

InfoQ_d2212957090d

AQS

算法与数据中台实践之网约车平台

博文视点Broadview

大数据 数据中台 中台 算法 数据

【API进阶之路】用API打造一条自动化内容生产流水线

华为云开发者社区

自动化 API 部署

MYSQL中时间类型底层存储,DATETIME ,TIMESTAMP,INT 如何选择?

Dnnn

TCP三次握手和四次挥手

Dnnn

Linux命令netstat详解

Dnnn

学完微软技术总监整理的44 个微服务架构设计模式,我涨薪了

Java架构师迁哥

初识大数据

yuanhang

大数据

理解大端字节和小端字节

Dnnn

每1000行代码有14个安全缺陷,开源软件的安全令人堪忧-InfoQ