上周,第三方漏洞收购平台Zerodium宣布未来2-3月暂停收购iOS漏洞,因为短期内提交的iOS漏洞利用程序太多。这条新闻让很多安全人士感到诧异,毕竟,iOS的安全性曾经是苹果公司引以为傲的最大卖点之一,5年前iOS的零日漏洞售价动辄高达百万美元,但近年Android系统安全性不断提升,漏洞价格也反超了iOS,如今Android零点击漏洞(无需用户交互便可利用)价格已经飙升至250万美元,而iOS的类似漏洞价格“只有”200万美元。
除去谷歌和苹果公司在应用安全领域的投入和关注度等因素,还有一个导致iOS漏洞大面积爆发,安全性被Android逆袭的深层次原因,那就是编程语言平台和开源程序库的安全性问题。
Bug之王
根据Veracode最新发布的年度软件安全现状报告,全球所有应用软件中,70%都包含至少一个开源代码库导致的安全缺陷/漏洞,其中Swift代码库的软件缺陷密度(每个代码库的缺陷数量)已经超过了web安全人士的“衣食父母”——PHP。(下图)
Veracode的软件安全状况报告指出,这些开源库(免费的集中式代码存储库,为开发人员提供现成的应用程序“构建块”)不仅无处不在,而且存在风险。
分析检查了85,000个应用程序中的351,000个外部库,发现开源库非常普遍。例如,大多数JavaScript应用程序包含数百个开源库,有些甚至包含1000多个不同的库。此外,大多数语言都具有相同的核心库集。
报告说:“特别是JavaScript和PHP,几乎在每个应用程序中都有几个核心库。”
与其他软件一样,这些库也有bug。问题在于,由于代码复用,单个bug可能会影响数百个应用程序。
Veracode表示:“在当今几乎所有应用程序中,开源库都很重要,它使开发人员可以通过快速添加基本功能来加快开发进度。” “实际上,如果没有这些库,使用软件进行创新几乎是不可能的。但是,缺乏如何正确使用开源库及必要的风险意识已经成为一个严重的问题。”
四大最危险语言
根据报告,开源代码库中bug最多的四个主要语言是:Swift、.NET、Go和PHP(上图)。
其中Swift的bug密度(7个)高居榜首,而PHP漏洞则分布最广(覆盖近60%的代码库)。由于Swift是Apple生态系统的专业开发语言,因此虽然其bug密度很高,但是分布并不算广泛。
.NET的bug分布百分比在这四个库中最低(不到10%),但其代码库的数量是Swift的17倍以上。
Go包含bug的库比例很高,接近PHP,但是平均每个代码库的bug总数较低。与Go相比,PHP的每代码库bug数量更高(6.5),bug密度是后者的两倍。
不过在可利用PoC数量上,Swift的表现不算最糟糕,PHP依然是无可争议的“王者”:
最好的防御:及时更新
报告还发现跨站点脚本(XSS)是开源库中最常见的漏洞类别,占比接近30%其次是不安全的反序列化(23.5%)和访问控制入侵(20.3%),如下图所示:
“不安全的反序列化(Insecure Deserialization)过去是自主开发应用程序中相对罕见的缺陷,其排名快速上升令人不安,因为这类缺陷可能导致执行意外的代码路径,这意味着我们不打算使用的库的某些部分也可能会插入到其应用程序的执行路径中。”
数据还显示,由于级联的相互依赖关系,大多数有缺陷的库最终都以代码形式间接存在,因为开发人员使用的开源库库很可能调用了另一个开源库的代码。
“应用程序中47%的有缺陷库都是可传递的,换句话说,它们不是由开发人员直接引入的,而是由第一个被调用的库引入的(42%被直接引入,12%被间接引入)。这意味着开发人员正在引入比预期更多的代码,而且常常是有bug的代码。”
好消息是,大多数最严重的程序漏洞和bug都可通过更新解决(下图)。
“仅通过较小的版本更新就可以解决应用程序中大多数被引入的bug(将近75%);根据Veracode报告,bug修补通常不需要对主程序库进行升级,而且超过90%的OWASP TOP 10榜单中最严重的bug,今天都有可用补丁或更新。”
参考资料
Veracode开源软件安全现状报告:
https://www.veracode.com/sites/default/files/pdf/resources/reports/state-of-software-security-open-source-edition-veracode-report.pdf
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文