开源软件的普遍存在带来了重大的安全风险，因为它为使用者(有意或无意地)引入漏洞打开了大门。广泛使用的Log4j代码库中的严重漏洞为大家做了提醒。

开源代码对网络犯罪分子的吸引

使用广泛而便于被利用的开源软件对网络犯罪分子很有吸引力，攻击者可以使用各种方法来混淆对开源项目做出的恶意更改，并且，通过审查代码来了解安全隐患的严格与否可能会根据项目而不同，因此，如果没有严格的安全控制措施来检测这些恶意更改，那么很可能会被忽视，随之被分发并包含在众多公司的软件中。

对开源代码的攻击所产生的影响会随着规模和实体不同而不同。例如，去年7月，研究人员发现了9个漏洞，这几个漏洞影响了EspoCRM、Pimcore 和 Akaunting这3个开源项目，并且这些项目经常被中小型企业所使用。更重要的是，2017年数据泄露事件是由于该组织的开源代码中漏洞被利用，从而影响了1.47 亿人的个人数据。

能否舍弃开源代码?

CISA曾表示，数亿台设备可能受到Log4j漏洞的影响。尽管开源代码的漏洞影响严重，但完全放弃使用开源是不现实的。几乎所有现代软件都是由开源组件构建的，在没有开源的情况下重建这些组件将需要大量的时间和金钱来生产，即使是很小的应用程序。全球超60%的网站在Apache和Nginx服务器上运行，据报道90%的IT领导者定期使用企业开源代码。

测试和保护您的软件

与其担心如何避开开源组件，更现实的方法是将安全融入软件开发团队中，将应用软件安全测试提前。这一部分可以由三部分组成，首先要扫描和测试代码安全，其次建立一个明确的流程来解决和修复出现的漏洞，最后创建一个内部策略，其中设置了解决安全问题的规则。

在使用工具检测代码安全时，静态代码分析是很好的第一步。通过静态代码检测分析可以分析源代码中是否存在缺陷及安全漏洞。此外，通过将严格的代码审查与动态分析和开源组件成分分析相结合，以发现更深层次的漏洞问题。

扫描检测完成后，组织应该有一个明确的流程来解决发现的漏洞。开发人员可能会发现自己面临发布截止日期，或者软件补丁可能需要重构整个程序，这将导致延长时间。通过明确的后续步骤来解决漏洞和缓解问题，帮助开发人员解决艰难的选择，并保护组织的安全。

保护开源免受未来攻击

整个行业都在关注进一步保护开源代码安全的必要性。除了全行业努力保护基于开源代码构建的软件免受网络威胁外，组织应该对其防御战略采取内部积极主动的方法。

这包括为他们自研代码和他们所依赖的开源代码实施安全检测和控制程序。制定内部政策和指南，可以帮助识别使用开源软件的风险，并确定用于管理该风险的控制措施。这样不但能利用开源代码所带来的便捷，同时还能创建一个能够抵御未来攻击的软件开发环境。

文章来源：

https://www.darkreading.com/vulnerabilities-threats/open-source-code-the-next-major-wave-of-cyberattacks

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课