雖然開源軟件在開發(fā)人員和科技公司中日益受到歡迎，但最新報告披露了當前開源環(huán)境所存在的安全隱患。在最新《The State of Open-Source Security》報告中，開源代碼的無限制部署正逐漸成為一種安全風險。

開發(fā)者安全公司 Snyk 和 Linux 基金會的研究聲稱，超過三分之一的組織對其開源軟件的安全性沒有很高的信心。 Snyk 開發(fā)者關(guān)系總監(jiān) Matt Jarvis 談到這份報告時說：

今天的軟件開發(fā)人員擁有自己的供應鏈——他們不是組裝汽車零件，而是通過將現(xiàn)有的開源組件與其獨特的代碼拼湊在一起來組裝代碼。雖然這會提高生產(chǎn)力和創(chuàng)新，但它也帶來了重大的安全問題。

這份史無前例的報告發(fā)現(xiàn)了廣泛的證據(jù)，表明業(yè)界對當今開源安全的狀態(tài)還很幼稚。我們計劃與 Linux 基金會一起利用這些發(fā)現(xiàn)來進一步教育和裝備世界上的開發(fā)人員，使他們能夠繼續(xù)快速構(gòu)建，同時保持安全。

該研究聲稱，一個應用程序開發(fā)項目平均有 49 個漏洞和 80 個直接依賴項。此外，修復開源項目漏洞所需的時間也在穩(wěn)步增加。早在 2018 年，修復安全漏洞平均需要 49 天。2021年，開發(fā)一個補丁大約需要 110 天。

該報告稱，只有 49% 的組織制定了開源軟件開發(fā)或使用的安全策略。而且，對于大中型公司來說，這個數(shù)字僅為 27%。大約 30% 的組織甚至承認，他們的團隊中沒有人直接負責，甚至沒有解決開源安全問題。順便說一句，這些公司沒有專門的開源安全策略。

（舉報）