编者按：在数字化浪潮席卷全球的今天，开源软件以其开放、协作的特性，成为驱动技术创新的重要引擎。然而，随着其广泛应用，潜藏的安全隐患也逐渐浮出水面。最新研究揭示，看似透明的开源代码中，竟有约0.5%存在可被实际黑客攻击利用的高危漏洞。这不仅是技术层面的挑战，更是对整个软件供应链安全的严峻考验。从欧美强化监管，到企业被迫应对，一场关于信任与风险的博弈正在悄然上演。本文将带您深入剖析开源软件的安全真相，探讨在便捷与风险并存的数字时代，我们该如何构建更稳固的防线。

　　对开源软件进行检查后发现，大约0.5%的案例中存在可能被实际黑客攻击利用的漏洞。开源软件允许任何人修改和分发源代码。

　　韩国互联网与安全机构（KISA）于7日宣布，在对大约23.1万个开源组件进行分析后，发现3.5%的组件存在安全漏洞，这些漏洞可能被用于远程执行恶意软件、暴露敏感信息等目的。

　　在0.49%的开源组件中，发现了可用于实际黑客攻击或分布式拒绝服务（DDoS）攻击的高风险漏洞（KEV）。

　　韩国互联网与安全机构表示，所有被调查的软件都使用了至少一个开源组件。

　　随着开源软件的使用越来越普遍，网络攻击的强度不断加剧，美国和欧盟等主要国家正在加强软件供应链管理指南，包括强制要求提交和管理软件材料清单（SBOM）。

　　欧盟正在实施《网络弹性法案》（CRA）、EUCC认证体系等措施，并从明年9月开始，所有向欧盟出口软件的公司都有义务在销售后发现漏洞时向相关机构报告。

　　考虑到企业难以逐一检查供应链安全要求，韩国互联网与安全机构建立了一个供应链安全管理体系，该体系涵盖从外部源代码的初始采用到分发后监控的全过程。

　　该机构的一位消息人士解释说：“在开发者无法完全信任从GitHub等平台获取的源代码是否安全的情况下，我们正在对常用的开源软件进行验证，生成SBOM，并确保只使用经过批准的开源软件。”

　　本文由万更网原创发布，未经许可，不得转载！

　　本文链接：https://m.fdsil.com/c/57898.html