Java 开发者想要尽可能避免安全漏洞,应该更加了解他们在应用程序中使用的开源组件。Veracode 公司近日发布了一份新的报告,数据显示 88% 的 Java 应用包含一个以上的易受攻击的组件,还有约 53.3% 的 Java 应用依赖于易受攻击的 Commons Collections 组件版本。
Veracode 的 CTO Chris Wysopal 表示:“组件的普遍使用,意味着当某个组件中的漏洞被披露时,可能会影响数以千计的应用”。
据该公司称,应用变得脆弱的主要原因是开发者在组件发布新版本或发现新漏洞时,多数情况下不会去修补应用。“2017 年软件安全报告”也指出,只有 28% 的团队会及时去跟踪和监测其应用使用的组件。当应用大约 75% 的代码都是由开源组件组成时,问题就来了。
Wysopal 表示,“开发团队不能也不应该停止使用组件,但当漏洞被利用时,时间是至关重要的。开源组件和第三方组件并不一定没有内部开发的代码安全,而是需要保持正在使用的组件及时更新“。 Wysopal 建议公司更重视这一威胁,并使用工具来监控组件的情况。