解析企業使用開源軟件的潛在風險

不少企業都選擇使用開源軟件（OSS）構建更加靈活的產品，但其中也存在潛在的風險，軟件供應商和IoT製造商都有必要去了解一下隱藏在軟件供應鏈中的風險。

已知風險

例如，犯罪分子就徹底能夠利用Apache Struts CVE-2017-5638漏洞來獲取Equifax客戶的我的資料。衆所周知，Apache Struts是一種普遍使用的開源組件 – Web服務器的框架，它能夠用於接收和提供公司內部系統中的商業數據。歸根到底，仍是由於這個開源組件所存在的漏洞以至於使其成爲網絡攻擊的主要目標。

主要發現

根據Flexera的一份最新報告顯示，在商業和IoT軟件產品中所發現的代碼有百分之五十都是與開源軟件有關的。但調查顯示只有37％的受訪者表示曾獲取並使用開源軟件。而63％的公司說，他們並無獲取或使用開源軟件，或者說他們根本就不知道有這種狀況的存在。

而且據瞭解，目前基本沒有人對開源軟件的安全性負責：39％的受訪者表示，在他們公司內部沒有人會對開源軟件的安全性負責，或者能夠說他們壓根就不知道應該是由誰來負責。

除此以外，開源軟件的貢獻者也不是遵循最佳實踐：33％的受訪者表示本身的公司曾爲開源項目作出了貢獻。可是，又有63％的受訪者表示他們的公司壓根並無開源採購或使用政策，固然也有43％的受訪者表示本身自己對開源項目也有作出貢獻。

無論怎樣，咱們都不能忽視開源確實是一個明顯的捷徑。 Flexera產品管理副總裁Jeff Luszcz表示：「徹底開源可獲取的代碼能夠快速得到產品，這對於軟件開發的快速節奏來講很是重要。」 「然而，大多數軟件工程師並無在私下裏去跟蹤開源的使用狀況，並且有絕大部分的軟件高管都沒有意識到其安全/合規風險方面存在必定差距。」

事實上，對於開源軟件使用過程當中的安全合規、許可等流程可能遠比簡單的拿來用要方便的多，但這些流程毫無疑問是必不可少的。

「開源軟件的安全合規流程可以很好的保護產品和品牌聲譽。但大多數軟件和IoT廠商都沒有意識到存在的問題，因此他們並無保護本身和戶，」Luszcz說，「對於暴露產品合規性和漏洞風險的供應商，還有那些壓根就不知道他們運行開放源代碼和其餘第三方軟件的客戶，甚至多是包含軟件漏洞的客戶 ，這些都是會危及到整個軟件供應鏈。」

2017慧都十四週年狂歡搞事情！砸金蛋100%抽現金紅包、滿額豪送iPhone X、iPhone 八、DevExpress漢化免費送、團隊升級培訓套包勁省10萬元......更多驚喜等您來探索！