新的研究表明，在现代应用程序开发中广泛使用开源软件(OSS) 会带来“重大的安全风险”。根据网络安全公司 Snyk 的一份新报告，连同Linux(在新标签中打开)基金会，今天的组织没有准备好应对这些风险。

根据对 550 多名受访者的调查，以及通过 Snyk Open Source 从 13 亿个开源项目中提取的数据，该报告指出，五分之二 (41%) 的公司对其开源代码的安全性没有信心。

分享您对网络安全的看法，并免费获得《2022 年黑客手册》。帮助我们了解企业如何为后 Covid 世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值 10.99 美元/10.99 英镑的 bookazine。

发现平均应用程序开发项目有 49 个漏洞，以及 80 个直接依赖项。通常，现在修复开源项目中的漏洞需要 110 天，而四年前则需要 49 天。

“今天的软件开发人员拥有自己的供应链——他们不是组装汽车零件，而是通过将现有的开源组件与其独特的代码拼凑在一起来组装代码。虽然这会提高生产力和创新，但它也带来了严重的安全问题，”Snyk 开发人员关系总监 Matt Jarvis 说。

Jarvis 补充说，业界对开源软件的态度有些“幼稚”，这可能会为各种恶意软件、勒索软件和其他攻击打开大门。

例如，不到一半 (49%) 拥有 OSS 开发或使用的安全策略，在大中型公司中下降到 27%。此外，在没有开源安全策略的组织中，不到三分之一 (30%) 意识到目前没有人在解决开源软件的安全问题。

但一些受访者意识到供应链中开源软件带来的安全挑战。四分之一的人表示他们担心他们的依赖项对 OSS 的安全影响，只有 18% 的人表示他们对他们为传递依赖项设置的控制措施充满信心，其中 40% 的漏洞都被发现。