开放源代码项目面临的供应链攻击风险

关键要点

82的流行Apache软件基金会项目存在“极高固有风险”。64的开放源代码漏洞未能获得修补程序。仅10的组织能够完全修补其漏洞。约3的组件具有不明来源，超过5的组件未通过基本完整性检查。组织需重视开放源代码软件的潜在风险。

开放源代码项目的广泛应用使得它们成为软件供应链攻击的目标，根据SiliconAngle的报告，82的44个最流行的Apache软件基金会项目存在“极高的固有风险”。根据Lineaje的一份报告，有64的已识别开放源代码漏洞尚未获得修补，另外26的其他缺陷也未能得到其背后组织的修正。此外，仅约10的组织可以通过完全修补来解决其漏洞暴露问题。

极光加速器aurora关键数据百分比极高固有风险项目82无补丁的开放源代码漏洞64无法修复的其他缺陷26完全修补漏洞的组织10不明来源的组件3未通过完整性检查的组件5

这些发现还显示，接近3的所有组件来源不明，而略多于5的组件未通过基本完整性检查。Lineaje的联合创始人兼首席执行官Javed Hasan指出：“今天的组织必须理解，开放源代码软件存在风险且可能遭到篡改，即使它非常流行或由知名品牌提供。随着更多软件是组装而非构建，拥有正式工具来发现软件DNA变得比以往任何时候都重要。”

开源产品加大了软件供应链的风险媒体