Linux 基金會和哈佛大學創新科學實驗室的研究人員進行了廣泛調查和深入研究，得出了有關企業內常用的免費開源軟件（FOSS）的一些重要結論與潛在安全風險。

　　研究人員發現，由于缺少針對 FOSS 組件的標準化命名方案，企業和其他股東難以快速、準確地識別可疑或易受攻擊的組件。

　　其次，他們還發現，需要更加安全地保護開發人員的賬號，那些積極為某些廣泛部署開源軟件做貢獻的人員。第三個發現是，與其他較舊的硬件或軟件技術一樣，開源社區中的舊版軟件包日益危險。

　　《哈佛商學院》的合著者 Frank Nagle 教授說：“ FOSS 組件幾乎是所有其他軟件的基礎，無論是開放的還是專有的，但我們對軟件的常用性或安全性信息知之甚少。考慮到了免費開源軟件可能對經濟產生的影響，但卻很少人考慮到支持和維護這一核心基礎架構的系統性工作。”

　　在這項研究中，Linux 基金會和哈佛大學的研究人員分析了企業軟件的使用數據，這些數據由軟件合成分析公司和應用安全公司提供，例如 Snyk 和 Synopsys 網絡安全研究中心。在確定常用的開源軟件時，研究人員考慮了 FOSS 軟件包或組件與其他企業應用程序和系統之間可能存在的從屬關系。

　　目的在于確定和衡量企業環境中常用的 FOSS，了解該軟件的安全性等。FOSS 組件幾乎占企業當前正在使用的所有應用程序的 80％ 至 90％。盡管許多 FOSS 項目有接受安全檢查，但是很多還沒有。

　　研究人員在本周發布的一份報告中說，在諸如 OpenSSL 之類的有小部分貢獻者基礎的常用項目中，漏洞通常會被忽略。隨著對 FOSS 的依賴日益增長，政府、研究人員和組織通過審核、漏洞賞金計劃、黑客馬拉松和會議更好地了解開源軟件的來源和安全。Nagle 說：“第一步是要真正了解企業所依賴的 FOSS 組件。無論是通過定期的安全掃描和代碼審計，還是通過其數字產品采用的軟件材料清單。”

　　頂級項目和頂級風險

　　Linux 基金會與哈佛大學創新科學實驗室的聯合研究表明，企業內 10 個最常用的 FOSS 軟件包是 async，inherits，isarray，kindof，lodash，minimist，native，qs，readable-stream 和 string-decoder。研究人員還確定了最常用的非 JavaScript 程序包，其中包括 com.fasterxml.jackson.core：jackson-core，com.fasterxml.jackson.core：Jackson-databind，com.google.guava：guava 和 commons -codec。

　　在確定了最重要的項目之后，研究人員著手尋找這些項目中最活躍的貢獻者，并確定了其中約 75％ 的公司從屬關系。在研究過程中，研究人員發現，最常用的七個開源軟件項目中的七個托管在開發人員個體賬號上，其安全性比企業賬號更弱。報告警告說：“個體賬號的開發人員控制和更改代碼非常容易實現，無需檢測即可進行。”

　　此外，根據研究人員的說法，對開發人員個體賬號的攻擊正在增加，利用賬號接管、后門和其他惡意代碼等實現代碼訪問的風險越來越大。Nagle 說：“如果這類個人賬號的存儲庫支持的話，可以執行兩因素身份驗證。”

　　個人賬號控制的常用 FOSS 的另一個風險是開發人員，他們有刪除賬號或刪除有爭議和分歧代碼的決定權。Nagle 指出：“更廣泛和長期的解決方案是，將此類項目轉移到企業賬號，而不是由個人賬號控制，這有助于增強項目的歸責性和將來的可用性。”

　　研究表明， FOSS 組件需要有更好的命名規則。Nagle 表示，由于 FOSS 可以自由修改和復制，因此可以有多個版本，分支和類似名稱的存儲庫。為了進一步確保安全，重要的是對正在使用的 FOSS 組件情況以及支持和維護工作有個共識。

　　研究人員的另一個發現是，與舊版不受支持的軟件或硬件版本一樣的是，舊版開源組件也面臨風險。例如，Nagle 指出了常用的 PuTTY SSH 軟件的 0.70 版，該軟件于 2017 年 7 月發布。將近兩年后，直到 2019 年 3 月該軟件的更新 0.71 版才發布。像這樣常用軟件的更新和檢查就可以解決存在于代碼庫 20 多年的安全問題了。”

　　*參考來源：darkreading，Sandra1432 編譯，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的免费开源软件的潜在安全风险的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。