工具捕捉开源代码中的安全漏洞

今年对于开源代码和安全性来说是最好的一年，也是最糟糕的一年。

一方面，Black Duck Software和North Bridge Venture Partners的最新调查显示，72%的行业专业人士更喜欢开源软件，因为它比专有解决方案更安全。

[开源项目是提高安全性的途径吗？]

另一方面，Heartbleed暴露了一个广泛使用的开源OpenSSL加密工具的安全缺陷，该工具影响了50多万个网站。同样在今年春天，TrueCrypt以SourceForge页面上的“未修复的安全问题”为由意外关闭，Linux中的一个关键错误GnuTLS在被发现10多年后终于暴露出来。

开源软件广泛应用于商业领域，包括运行Linux和Apache的web服务器、数据库、Android操作系统、企业开发人员使用的代码库以及商业软件包。

完全避免开源并不是一个选择，但是盲目地相信开源社区来修复所有的错误也是有问题的。

一种解决方案是使用自动代码扫描工具来扫描代码中已知的漏洞和常见的编程错误。幸运的是，自动化工具每年都在进步。

信任，但要核实

在过去的几年里，在开源代码中发现了超过5000个安全漏洞，根据国家脆弱性数据库.

理想情况下，一家公司会根据其使用的开源软件包，以及商业软件包中使用的开源软件，甚至是他们自己的程序员从互联网上复制的代码，检查每一个漏洞。

黑鸭软件公司产品管理副总裁Dave Gruber说：“事实上，开发人员每天都会从开源项目中剪切和粘贴代码。

大型组织一直在向其环境中添加新的开源软件，这意味着漏洞检查必须是一个持续的过程。

格鲁伯说：“对于那些手工操作的组织来说，它很快就会变得势不可挡。”。

黑鸭软件除了每年对公司如何使用开源进行一次调查外，还提供软件扫描工具，帮助公司找到所有正在使用的开源软件、组件，甚至是代码片段，然后对照已知漏洞列表进行检查。

[科技巨头资金只是确保关键开源项目安全的一个开始]

其1400多家客户包括《财富》100强中的27家、十大投资银行中的6家和十大软件公司中的7家。格鲁伯说，该公司目前在其数据库中有100多万个开源项目。

他说：“我们跟踪了世界上所有主要的开源forge。”。

在新虫子咬之前找到它们

查找和修补已知漏洞非常重要，是保护开源软件安全的关键第一步。

但是未知的漏洞呢？也有一些工具可以帮助解决这个问题。

其中一个工具是来自纽约CAST的应用程序智能平台，它可以扫描软件的漏洞和漏洞，并指出问题所在。

CAST高级副总裁Lev Lesokhin说：“在一般的应用程序中，我们发现了100到120个安全漏洞。

常见的问题包括SQL注入，黑客试图侵入应用程序时将输入数据库查询，而不是请求的数据。这项技术并不新鲜。

莱索金说：“但这仍然是罪犯进入系统的最常见方式。

根据4月份发布的最新Verizon break报告，80%的针对Web应用程序的攻击使用了SQL注入。

他说：“开源软件的一个神话是，有数百万的眼球在看源代码并修复它。”。“但是只有很少的开源项目是这样的。剩下的部分——有人写了一些东西，放到了开源上。”

它可能是一个业余爱好者写的，或者是一个已经转移到其他地方，不再维护软件的人写的。

但它仍然可能是有用的代码，可以节省公司开发人员的时间、天数，甚至数周的工作。

莱索金说：“任何你能想到的组件，都有一个开源的例子，你可以重用。

但有一家公司正在将其代码扫描技术直接应用于源代码，也就是开放源代码项目本身。而且由于这些项目通常资金不充足，所以这项技术是免费的。

[Hadoop的成功促使人们努力使它更安全]

它被称为Coverity Scan，由总部位于旧金山的Coverity，Inc.在云中提供。它扫描软件以查找所有常见类型的安全问题，包括缓冲区溢出、跨站点脚本、不安全的数据处理、SQL注入、安全错误配置和非法访问内存。

它最初于2006开始作为CopyTeice和美国国土安全部之间的一个公私研究项目，并被用来分析一些最重要的C和C++开源项目，包括Linux、Apache、PHP和PostgreSQL。去年，Coverity扫描也扩展到了Java。

该公司产品高级主管扎克•萨莫查（Zack Samocha）说：“他们得到的平台和我们的客户一样，但都是在云端。”。

他说，从安全的角度来看，过去几个月对开源项目来说很艰难。

“令人心碎的问题是巨大的，”他说。

然而，也有一线希望。这些备受关注的安全问题引起了人们对开放源码软件进行更好的安全筛选的需求。

他说：“在意识到这一问题后，有400多个新项目注册了Coverity扫描。“开源社区正在走向成熟，并理解成功使用这些工具的必要性。他们正在确保质量更好、安全性更好。”

他说，Coverity现在扫描了2200多个不同的开源项目。

四月，CopyTeas发布了一份报告，分析了来自700多个C和C++项目的代码，除了java项目和匿名企业项目的示例之外，总共有7亿5000万多行代码。分析显示，自该公司8年前开始运行扫描程序以来，开源代码的质量首次超过了专有代码。

部分原因可能是开源项目本身越来越重视解决编码问题。例如，Linux使用了Coverity扫描，将修复新发现的缺陷所需的平均时间从122天减少到6天

公司内部也使用Coverity。客户包括SAP、法航、康卡斯特、巴克莱等主要品牌，以及十大软件公司中的九家和十大航空公司中的七家。

三菱电机桑达工厂（Mitsubishi Electric Sanda Works）的员工经理津田佳彦（Yoshinori Tsujido）在一份声明中说：“源代码的数量正在迅速增加，但我们仍在保持一致的质量。”。“我不知道如果我们不使用Coverity，我们现在会在哪里。”

[专家称，黑客攻击运行Apache Struts应用程序的服务器]

根据IDC的预测，2013年全球软件质量分析市场规模超过5亿美元，到2017年将增长到9.06亿美元，年复合增长率超过15%。

IDC分析师梅琳达•巴卢（Melinda Ballu）在一份声明中说：“面对越来越多的业务关键型系统的高度公开故障，关注软件质量分析的紧迫性从未如此明显。”。“改善这一领域企业和开发商卫生的迫切需要是显而易见的。”

这篇文章“工具捕捉开源代码中的安全漏洞”最初由CSO公司 .