现在诸多企业使用开源代码的应用程序，原因当然是此程序有很多好处，其中包括它的透明度、灵活性以及它的成本效益和社区支持。但是这些产品的安全性如何保障呢？这就需要我们迅速发现这些安全漏洞，但是修补这些漏洞和应用修补程序却是另一回事。事实上过时的开源组件在安全漏洞中也发挥了作用，所以大家不能忽视。为了让大家免受开源漏洞的侵害，今天我们分享几个技巧，如果您遇到了这样的问题，也可以及时止损。

在营销技术行业中看到的所有公司(包括潜在客户生成的CRM和社交媒体)在其应用程序中都包含开源代码。其中，95%的代码库具有开源漏洞。医疗保健部门中约98%的代码库包含开源，其中67%具有安全漏洞。

金融服务行业中约有97%的代码库包含开源，其中超过40%的代码库具有漏洞。零售和电子商务部门分析的代码库中有92%使用的是开源，其中71%的代码库存在安全漏洞。

许多安全漏洞是废弃的开源组件的结果。过去两年中，整整91%的代码库都具有开源依赖项，并且没有开发活动，这意味着代码没有改进，也没有安全补丁。

过去两年中，超过90%的代码库使用的是开放源代码，没有开发活动，这不足为奇。与商业软件不同，供应商可以将信息推送给用户，而开源软件则需要社区参与才能蓬勃发展。孤立项目并不是一个新问题，但是一旦发生，解决安全问题就变得更加困难。

过时的开源组件在安全漏洞中也发挥了作用。研究人员检查的代码库中约有85%具有开源依赖项，这些依赖项已过时四年以上。这些组件受到发布安全修复程序的活跃开发人员社区的支持，但是商业客户不一定会应用这些修复程序。

开源漏洞正在上升。2020年，具有易受攻击的开源组件的代码库的比例达到84%，比2019年增加9%。与此同时，具有高风险漏洞的代码库的比例从49%上升到60%。2019年在代码库中发现的几个顶级开源漏洞在2020年仍然存在。

为了帮助企业保护自己免受开源漏洞的侵害，研究人员分享了以下技巧：

1、创建您的开源资产清单。减少漏洞的暴露开始于完整的开源资产清单。理想情况下，每当部署新软件或更新软件时，都将更新此清单，以便您确定是否已正确修补所有内容。确保包括每个开源组件的来源，因为这将告诉您在哪里可以找到正确的补丁。

2、审查供应商如何处理补丁。当您购买新设备或应用程序时，请查看供应商如何发布软件补丁。如果您不能自己确定，请与支持团队联系。

3、必要时考虑其他供应商。如果供应商无法为您提供帮助或似乎没有在更新自己的产品，则可能是时候找到其他供应商了。如果供应商跟不上补丁程序，那么安全性可能就没有得到应有的重视。

4、在应用安全修补程序之前，请先对其进行检查。在应用任何安全补丁之前，请确保完全检查它。这对于开源代码尤为重要，因为开发人员不知道您的特定环境并且无法对其进行测试。

以上，我们介绍了关于开源程序安全漏洞和及时止损的方法，希望能够对您的企业信息安全有所帮助。如果您想了解更多关于开源程序安全的相关信息，请您继续关注中培伟业。