JavaScript、Ruby 和 Java 是間接依賴中存在缺陷最多的生態(tài)系統(tǒng)。

10年積累的網(wǎng)站制作、成都做網(wǎng)站經驗，可以快速應對客戶對網(wǎng)站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡服務。我雖然不認識你，你也不認識我。但先做網(wǎng)站設計后付款的網(wǎng)站建設流程，更有烏海免費網(wǎng)站建設讓你可以放心的選擇與我們合作。

開源項目中的絕大多數(shù)安全漏洞都存在于間接依賴關系中，而不是存在于直接加載的組件之中。

“匯總所有生態(tài)系統(tǒng)的數(shù)字后，我們發(fā)現(xiàn)間接依賴中存在的漏洞數(shù)量是直接依賴的三倍以上?！盨nyk 的應用安全顧問 Alyssa Miller 在接受討論 Snyk 的《 2020 年開源安全狀況報告 》的采訪時說。

該報告研究了漏洞如何影響 JavaScript（npm）、Ruby（RubyGems）、Java（MavenCentral）、PHP（Packagist）和Python（PyPI）生態(tài)系統(tǒng)。

Snyk 表示，項目內部加載的主要組件所依賴的依賴庫，受到了 86% 的 JavaScript 安全漏洞、81% 的 Ruby 漏洞和 74% 的 Java 漏洞的影響。

Snyk 認為，公司在掃描他們的主要依賴項是否存在安全問題時，如果不能探索其完整依賴樹的多個層次，會導致發(fā)布或最終運行容易受到不可預見的缺陷影響的產品。

但是，雖然安全缺陷在 JavaScript、Ruby 和 Java 中普遍存在，但在 PHP 和 Python 中卻不是這樣，絕大多數(shù)缺陷都存在于直接依賴關系（主要組件）中。當然，這是有原因的。

“老實說，我發(fā)現(xiàn)這更多取決于生態(tài)系統(tǒng)內部本身的開發(fā)方法?！盡iller 說。“尤其是 Java 和 Node.js 項目，似乎比其他生態(tài)系統(tǒng)更重地利用了依賴性。特別是，當你看到 Node.js 生態(tài)系統(tǒng)的龐大規(guī)模時，從其他包構建或利用關鍵功能的包是非常正常的?！?/p>

“詢問任何 Node.js 開發(fā)人員，他們都可能會遇到這樣的事，即在 npm 試圖拉取所有必要的依賴關系時，等待很長時間才能打開一個項目，”Miller 補充說。“我們最喜歡的一個例子是一個 80 行的 Java 應用程序，指定了 7 個依賴關系。然而，當你走完整個依賴樹時，你會發(fā)現(xiàn)有 59 個子依賴，突然間，80 行代碼變成了 74 萬行。”

“正如我們喜歡給它起的綽號，這種‘陌生人的危險’，是一些重大安全漏洞的根本原因，也是造成軟件供應鏈安全復雜化的關鍵原因，”Miller說。

少量的缺陷會造成了巨大的影響

但 Snyk 團隊并不只是看這些缺陷在開源生態(tài)系統(tǒng)中的位置，還看它們是什么類型的缺陷。

另一個有趣的發(fā)現(xiàn)是，2019 年發(fā)現(xiàn)的大部分新安全漏洞都是跨站腳本（XSS）缺陷，盡管數(shù)量很多，但這些缺陷只影響了一小部分實際運行的項目。

相反，在去年發(fā)現(xiàn)的所有缺陷中，有二十幾個原型污染缺陷的影響最大，影響了超過 11.5 萬個不同的開源項目，可能還有更多的私有項目也受影響。其中，jQuery 和 LoDash 的原型污染缺陷影響最大，因為這些框架是目前應用最廣泛的 JavaScript 開發(fā)工具集。

但是，Snyk 團隊在報告中還指出了另一個不尋常的地方，即“惡意軟件包”被列為他們去年在項目中發(fā)現(xiàn)的第二大最常見的安全問題類型。這指的是故意出于惡意創(chuàng)建的開放源代碼庫，或者是開發(fā)人員帳戶被黑并且代碼中毒的庫。

根據(jù) Snyk 的說法，去年，被黑的或惡意的軟件包是開源生態(tài)系統(tǒng)中第二大最常見的安全問題來源?！斑@些絕大多數(shù)（超過 87％）來自 npm （JavaScript）軟件包，” Miller 說。

去年的安全問題不那么嚴重，但也不值得慶祝

此外，Snyk 還指出，他們在所掃描的所有五個生態(tài)系統(tǒng)中發(fā)現(xiàn)的缺陷數(shù)量下降了 20％。

“很難確定（它們因為什么下降），”Miller 說?！耙晕疫@種永久安全懷疑論者來說，這可能只是自然的退潮和流動的一部分。然而，在樂觀的一面，我們確實看到了社區(qū)的一些關鍵變化，這可能意味著這不僅僅是這一年的異常值。”

“例如，我們看到所報告的跨站點腳本（XSS）漏洞比任何其他漏洞類型都多，它們只影響了我們當年掃描的總項目中的一小部分。這表明，XSS 可能不會影響到使用率更高因而更成熟的項目，這意味著人們可能更多關注安全編碼技術方面?！?/p>

“此外，我們的調查顯示，整個社區(qū)的態(tài)度開始將軟件安全視為開發(fā)團隊和安全團隊（甚至在某種程度上是運營團隊）之間的共同責任，”Miller 說。

“這種合作的改善無疑可以幫助推動圍繞安全代碼和安全使用開源包的更好的意識和戰(zhàn)術措施?！?/p>

“我在安全領域工作了 15 年，我當然還沒有準備好宣布某一年是事情出現(xiàn)轉機的標志，但你可以認為這是一個趨勢，我們將繼續(xù)觀察，看看未來幾個月和整個 2020 年的情況如何?！?/p>
文章題目：超過75%的開源軟件安全漏洞存在于間接依賴中
標題來源：http://m.fisionsoft.com.cn/article/djschgs.html