一份新报告发现，大多数开发人员在将第三方开源库包含在代码库中后从未更新过。该报告由应用安全公司 Veracode编写，基于对 86,000 多个存储库的 1300 万次扫描的分析，共有超过 301,000 个独特的开源库。

根据其分析，Veracode 发现几乎所有扫描的存储库都包含至少存在一个漏洞的库。

“库的安全性可能会迅速变化，因此保持应用程序中内容的最新清单至关重要。我们发现，一旦开发人员选择了一个库，他们就很少更新它。Veracode 首席研究官 Chris Eng 表示，随着供应商面临越来越多的对其供应链安全性的审查，根本没有办法证明‘一劳永逸’的心态是合理的。

Veracode 认为，由于几乎所有现代应用程序都是使用第三方开源软件构建的，因此一个库中的单个缺陷可以快速级联到使用该代码的所有应用程序中。

该报告显示，开源库中的大部分 (92%) 缺陷都可以通过更新修复，其中大多数 (69%) 只是小更新。

此外，即使更新导致额外更新，其中近三分之二只是次要的版本更改，即使是最复杂的应用程序也不太可能破坏其功能。

报告中的启示为最近的美国命令增添了色彩，该命令要求向美国政府机构提供软件解决方案的供应商提供软件材料清单(SBOM)，以确保整个代码库的安全。

Eng 强调，开发人员必须及时更新库并在发现新漏洞时快速响应，以确保整个软件供应链的安全性。

免责声明： 本文由用户上传，如有侵权请联系删除！

标签： 开源软件