隨著開源代碼在商業和家用應用上越來越流行，基于它的漏洞的攻擊也日益增多，據黑鴨子軟件對收集的開源項目的數據統計，其預計今年的攻擊增長 20% 。

黑鴨子軟件安全戰略部的副總經理 Mike Pittenger 介紹說，包含了 50% 以上的自由、開放源軟件的商業軟件項目占比從 2011 年的 3% 上升到今天的 33%。

他說，平均每個商業應用使用超過 100 個開源組件，而三分之二的商業應用代碼帶有已知漏洞。

更糟糕的是，軟件的買家常常無法知道他們購買的軟件中有哪些開源組件。

“一般來說，公司并不樂于提供這些”，他說到。他們為客戶提供的組件列表常常是不完整的。“如果你未經他們同意就掃描二進制碼，你很可能違反了他們的許可協議，給自己帶來很多麻煩”。

一些大公司買家可能有權要求他們完整披露，并由第三方比如黑鴨子軟件進行掃描驗證。

完全避免開源軟件并不是一個好的選擇。很多開源庫是事實上的工業標準，而且從頭開始寫同樣的代碼太耗費時間，延誤了投放市場的時間，損害了公司的競爭力。因此，商業軟件商使用開源代碼的越來越多，這個趨勢在加速，Pittenger　說到。

同樣的邏輯適用于企業自建軟件， ISACA 思維領導與研究部門總監 Ed Moyle 說。ISACA 是 IT 和 網絡安全專業人員的一個全球化組織。

“也有很多社區支持活躍的項目，帶來可靠的安全和功能更新”，他補充說。“在特定情況下，如果能夠審計代碼會帶來安全的好處，當然也帶來了高度定制軟件的能力。按照以往經驗，如果一個商業工具能夠做什么事，很可能就會有開源工具提供同樣的功能。”但是，“多個眼睛”來檢查開源代碼漏洞的方式并不總能有好的效果。

“任何人都可以審計代碼，但也可能每個人都認為有人來審計，結果最終誰都沒有做此事。”　來自 AlienVault 的安全顧問　Javvad Malik　說。“這是一個問題。”

結果，管理開源組件越來越棘手，而那些壞家伙們也意識到這一點。

開源代碼到處都是，所以攻擊者可以使用同樣的利用方式尋找一大批目標。由于跟蹤開源代碼的困難，使用者常常不打補丁和更新，這樣，黑客可以利用已知漏洞和已公布的缺陷利用例子。

物聯網的興起去年也成為了一個主要的安全問題，今年將繼續是一個主要問題，專家們預測。

“智能設備和物聯網中使用了許多開源軟件，這正是 Mirai 僵尸網絡病毒利用的漏洞，”Malik 說。（LCTT 譯注：自 2016 年 9 月黑客操控感染了惡意軟件 Mirai 的物聯網設備發起了 DDoS 攻擊，影響波及很多著名網站，并導致服務中斷，影響頗深頗廣。）

同時，開發者常常不檢查開源代碼漏洞，或者懷疑有問題但由于最后期限的壓力，而直接使用了。所以，不只是未打補丁的漏洞存在著，還有新寫的代碼會集成進去舊的、已知的漏洞，黑鴨子軟件的 Pittenger 說到。

商業軟件項目中的漏洞平均存活時間為 5 年，他說到。

心血漏洞這個漏洞早在 2014 年初就在 OpenSSL 庫中發現，并被廣泛宣傳。但去年，在測試的應用中仍有 10% 存在此漏洞。

此外，每年有 2000 到 4000 個新漏洞被發現，Pittenger 補充說。

要解決這個問題，需要軟件商和顧客的切實行動，以及企業級軟件開發者的安全意識——不過目前看在最終改善前，形勢很可能還要惡化。

歡迎對此提出您的評論。