A（9）易受攻击的组件

我们的软件中包含了开源软件，这些开源软件可能存在漏洞！也就是漏洞不一定存在于我们自己写的代码中。
组件无处不在，webgoat就用了数百个组件，开发人员应该如何在数百个组件中跟踪这些信息？

了解OSS“物料清单”是起点

现代应用程序由自定义代码和许多开源部分组成。开发人员通常非常了解他们的自定义代码，但不太熟悉他们使用的库/组件的潜在风险。将物料清单视为配方中的成分列表。

我们应该知道答案的问题：
我们如何知道我们的应用程序中有哪些开源组件？

我们如何知道我们正在使用什么版本的开源组件？

我们如何定义开源组件的风险？

我们如何发现开源组件的风险？

我们如何将特定风险与开源组件的特定版本相关联？

我们如何知道组件何时发布新版本？

我们如何知道是否在以前的“良好”组件上发现了新的漏洞？

我们如何知道我们是否在使用开源组件的真实版本？

可以使用工具来生成组件清单。

0x12

关于漏洞 CVE-2013-7285

总结

现代应用程序中的开源消费有所增加。
开源是从许多具有不同质量标准的不同存储库中获得的。
有关漏洞的安全信息散落在各处。
许可证信息通常难以验证。
大多数团队没有组件升级策略。
开源组件是新的攻击媒介。

应采取的措施

生成 OSS 物料清单。
使用自动化工具 http://lmgtfy.com/?q=OSS+bill+of+materials
组织中的开源使用基线。
制定开源组件风险管理策略，以减轻当前风险并降低未来风险（华为对开源组件都会进行统一管理）