扩展安全 SDLC 以解决开源安全问题

挑战：如果找不到漏洞，则无法修补

与许多构建软件的企业一样，JDA 的逾 100 个应用程序的组合包含定制代码库、商业和开源组件的组合形式。Forrester 和 Gartner 等分析公司指出，超过 90% 的 IT 组织使用开源软件来处理关键任务，并且在某些应用程序中开源组件可高达 90%。

虽然与私有软件相比，开源中的漏洞数量相对较少，但仅在 2018 年就发现了超过 7,000 个开源漏洞。在过去的二十年里，已经出现了超过 50,000 个开源漏洞。在 Black Duck Audit Services 团队于 2018 年审查的代码库中，60% 的代码库至少包含一个开源漏洞。超过 40% 的代码库包含高风险漏洞，68% 的代码库包含有许可证冲突的组件。

从许可证合规性的角度来看，无论开源许可证是一个广泛使用的许可证，还是一次性的变体，除非组织知道与特定开源组件的使用相关的权利、义务和限制，否则他们无法确定是否遵守这些义务。从理论上来说，不合规的组织可能会失去其私有代码的权利，或者其知识产权的所有权会遭受质疑。

从安全角度来看，所有软件，无论是私有的还是开源的，都具有可能成为安全漏洞的弱点。只有少数开源漏洞，例如那些臭名昭著地影响 Apache Struts 或 OpenSSL 的漏洞，可能会被广泛利用。但是，当这种利用发生时，对开源安全管理的需求就成为热门新闻，就像 2017 年 Equifax 数据安全漏洞一样。

美国参议院调查常设小组委员会的一份报告指出，Equifax 缺乏完整的软件清单是其出现大规模安全漏洞的主要原因。“Equifax 缺乏全面的 IT 资产清单 — 这意味着它对其拥有的资产缺乏全面了解，”报告称，“这使得 Equifax 很难（即使并非不可能）知道其网络上是否存在漏洞。如果无法找到漏洞，则无法修补漏洞。”

许多公司没有正式管理开发人员对开源的使用，很少公司能生成一个列明开源组件、许可证、版本和补丁状态的最新的准确清单（也称为物料清单 或 BOM）。因此，这些组织会导致自己和客户面临风险。JDA Software 首席架构师 John Vrankovich 说：“在采用 Black Duck 之前，我们的开源管理主要是通过电子表格、开发人员的诚实守信和我们提供关于使用宽松型而非传染型许可的基本指导来完成的。”

“我们有超过一百种产品，其中每种产品本身都有数百种到数千种不同的开源组件。十几年前，对于识别和理解 BOM 中的开源安全漏洞，我们几乎没有任何概念。转向 Black Duck 是为了解决我们在开源安全问题方面的不足。我们认识到，需要一个能够确保跟踪和管理开源和商业组件的解决方案，作为我们整体软件安全计划的一部分。”