E安全7月18日讯 提供Maven 中央仓库托管服务的Sonatype公司表示， Java组件下载中，已知安全漏洞存在的概率为16分之一。

Sonatype表示，开发人员通常每年的Java组件下载量达310亿次，每天创建超过1000个新组件以及超过10000新组件版本。

当今公司使用托管的核心组件库储存代码。然而一些企业使用私人项目的开源代码，在某些情况下，他们下载并导入的开源代码缺乏适当的安全监察。

Sonatype估计，如今有80%至90%的企业代码实际上由公共仓库导入的开源组件构成。

由于安全漏洞是公开的，再加上Sonatype能查看服务器统计，像是没有他人提醒开发人员使用不安全或过时组件的危险性。

这种提醒对公司同样重要，如果攻击者劫持含有漏洞组件应用程序，会带来深远的经济影响。

旧组件的漏洞率高达3倍

经过研究多个行业3000个组织机构以及超过25000个企业的应用程序，Sonatype表示，公司每年下载大约5000独特组件。

旧组件包含安全漏洞的可能性极高。更糟的是，97%的所有下载组件无法轻易追踪或监察。

如果某公司想修复2000个应用程序中10%的安全漏洞，需要的预算高达742万美元。

为了避免未来出现更多漏洞，有必要管理软件供应链。组件的安全监察添加到项目之前丢失的时间可以在处理安全漏洞时找回。

将漏洞组件从核心托管代码库移除也应该成为组织机构和企业的重中之重。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒