軟體安全公司Fortify在周一(7/21)發表其開放源碼安全研究報告指出,被企業廣泛採用的開放源碼套裝軟體讓使用者曝露在重大且不必要的營運風險中。
Fortify與應用程式安全顧問Larry Suto共同檢驗了11種最普及的Java開放源碼套裝產品,並評估開放源碼社群提供給使用者的安全意見,以及測試其安全開發程序,包括與開發人員互動以及檢視相關安全策略的相關文件,以及利用Fortify的安全分析工具偵測這些產品不同版本的安全性,並在特定程式碼區域執行手動偵測。
被檢驗的11種開放源碼產品分別是關聯性資料庫Derby、物件關係對應工具Hibernate、CRM網站應用程式Hipergate、電子商務網站應用程式OFBiz、內容管理OpenCMS、網站應用程式架構Struts,以及涵蓋Geronimo、JBoss、JOnAS、Resin及Tomcat等五種應用程式伺服器等。
Fortify利用Java Open Review(JOR)偵測上述產品不同版本進行安全漏洞檢視,發現總計有2.2萬的跨站攻擊漏洞(Cross-Site Scripting)以及1.5萬的資料隱碼漏洞(SQL Injection),此外,Fortify亦發現許多開發人員因為沒有採用安全開發周期的相關工具,導致錯失偵測及修補這些安全漏洞的關鍵機會。
該份報告揭露了上述產品的漏洞密度,顯示漏洞密度最底的前五項產品依序是JBoss、Hibernate、Ofbiz、Strusts及Geronimo,而漏洞密度最高的則是Hibernate。
Fortify引用不同的分析機構以描述開放源碼在現代產業受歡迎的程度以及對相關安全性的擔憂,諸如Gartner的預測指出,到2011年將有80%的商業軟體含有開放源碼技術,CIO.com的調查發現有過半數受訪的企業中採用開放源碼應用程式,Forrester的調查則顯示88%的受訪者表示開放源碼軟體的安全性是令人擔心的議題。
Fortify認為,開放源碼產品經常宣稱擁有企業級軟體能力,但卻未採用產業最佳安全實務。該研究證實開放源碼開發社群尚未採用安全的開發程序而且經常未修補危險的漏洞,此外,該研究亦發現幾乎所有的開放源碼開發社群亦未提供使用者存取安全意見以協助修補這些漏洞或安全風險。
Fortify顧問Howard A. Schmidt表示,開放源碼軟體可成為現代企業的另一個重要選項,但商業軟體中的漏洞可能是CIO一個考量點。雖然開放源碼軟體與商用軟體或企業自行開發的軟體面臨同樣的漏洞,但開放源碼社群用來檢驗及分析軟體程式的方式需要更嚴謹一點。
另一名獨立安全顧問Jennifer Bayuk指出,這讓企業採用開放源碼產品擁有潛在成本,因為企業必須去測試及修補他們原先沒考慮到的安全漏洞。
Fortify建議企業要喚醒開放源碼社群的安全意識,並且要求開放源碼軟體要符合企業的安全需求以加速開放源碼社群採用安全的開發周期。(編譯/陳曉莉)
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-16
2026-01-18
2026-01-16