開源代碼成小程序開發便捷「工具」 謹慎使用規避漏洞風險

小程序打造了輕便又隨時可用的用戶體驗，它無需獨立安裝，體積小、開發速度快、維護成本低，不存在兼容性問題，不但方便開發人員並且也方便用戶使用。隨着小程序使用需求增長，開發公司爲了快速完成開發任務，每每會從網上選擇小程序開源代碼，其中不乏一些公司不瞭解相關開源許可規定，也不進行代碼安全測試就直接拿來用。這麼作雖然能夠低成本高效率的開發應用軟件，但拋開侵權問題不說，開源代碼背後隱藏的數據安全和隱私安全風險最後誰來買單?

開源代碼庫存在安全漏洞

2019年5月，GitHub遭到了黑客的攻擊勒索，370多名用戶的源代碼和信息被名爲「gitb ackup」的帳號刪除。與此同時，微軟開源開發平臺被黑客擦除了其392個代碼儲存庫。有分析稱，開源平臺遭受攻擊的緣由是平臺上開發的應用程序存在漏洞被黑客利用致使的。

Gartner的一項調查顯示，有99%的組織在其IT系統中使用了開源軟件。現在隨着敏捷開發與快速迭代的盛行，應用軟件開發再也不像從前那麼單一，如今的開發代碼有不少代碼成分，除了本身編寫的部分以外，還包括開源代碼、代碼複用、商業應用、第三方庫和外包開發。這種混雜的開發模式致使源代碼存在必定的安全風險。

根據Snyk公司發佈的《2019 年開源安全現狀調查報告》顯示，「過去兩年內應用程序的漏洞數量增加了88%，僅2018年包管理器(NPM )的漏洞數量就增加了47%」。

開源軟件具備開放、共同參與、自由傳播等特性，一方面因爲開發者自身安全意識和技術水平不足容易產生軟件漏洞，另外一方面也沒法避免惡意人員向開源軟件注入木馬程序實施軟件供應鏈攻擊等安全風險引入行爲從而對咱們的數據安全形成威脅。

WhiteSource調查顯示，2019年公開的開源軟件漏洞數量激增至六千多個已報告漏洞，開源代碼漏洞數增長了近一半，96.8%的開發人員依賴於開源軟件，還常常會出現不及時更新開源軟件漏洞補丁的現象。中國軟件供應鏈安全分析報告顯示，一多半應用項目中存在高危開源漏洞。這些存在於開源軟件中的安全漏洞極可能被利用，從而形成很大的損失。

開源漏洞多可怕?

開源組件存在漏洞時這個漏洞會迅速公佈。原本公佈漏洞是爲了讓更多的人及時發現漏洞並進行必要的修復，但與此同時，一些「圖謀不軌」的人也一樣能夠看到這些信息。他們幾乎不須要付出太多努力，就能瞭解哪些組件更容易受到攻擊以及如何實施攻擊。而後簡單的查找一下哪些公司的安全防禦系統較差，安全意識薄弱，反應遲鈍，就在漏洞被修復以前實施網絡攻擊。

使用開源代碼時如何規避漏洞風險?

避免不了使用開源代碼，那麼開發應用軟件使用到開源代碼時，該如何規避代碼漏洞風險?

1. 使用專業的開源代碼檢測工具(SCA)對代碼進行檢測，經過檢測確認代碼組成成分，進而檢查代碼的合規性風險及安全漏洞風險;

2. 在代碼測試過程當中，經過靜態代碼檢測工具(SAST)、模糊測試等方式及時發現代碼中的缺陷，提升代碼質量。

隨着開源代碼的使用率愈來愈高，開源軟件的安全漏洞潛在的風險愈來愈大，一旦安全漏洞爆發，影響範圍將是一個行業甚至社會的正常運轉。藉助高效恰當的安全管理工具，謹慎合理使用開源代碼，既能夠避免開源代碼侵權，避開代碼安全漏洞等開源管理風險事情的發生，同時也能夠節省應用軟件開發成本，提升開發效率，提高數據安全抵禦網絡攻擊的能力，從而贏得市場競爭。

參讀連接：

www.woocoom.com/b021.html?i…

www.gjbmj.gov.cn/n1/2020/112…