很多企業都選擇使用開源軟件（OSS）構建更加靈活的產品，但其中也存在潛在的風險，軟件供應商和IoT制造商都有必要去了解一下隱藏在軟件供應鏈中的風險。

已知風險

例如，犯罪分子就完全可以利用Apache Struts CVE-2017-5638漏洞來獲取Equifax客戶的個人資料。眾所周知，Apache Struts是一種廣泛使用的開源組件 – Web服務器的框架，它可以用于接收和提供公司內部系統中的商業數據。歸根到底，還是因為這個開源組件所存在的漏洞以致于使其成為網絡攻擊的主要目標。

主要發現

根據Flexera的一份最新報告顯示，在商業和IoT軟件產品中所發現的代碼有百分之五十都是與開源軟件有關的。但調查顯示只有37％的受訪者表示曾獲取并使用開源軟件。而63％的公司說，他們并沒有獲取或使用開源軟件，或者說他們根本就不知道有這種情況的存在。

并且據了解，目前基本沒有人對開源軟件的安全性負責：39％的受訪者表示，在他們公司內部沒有人會對開源軟件的安全性負責，或者可以說他們壓根就不知道應該是由誰來負責。

除此之外，開源軟件的貢獻者也不是遵循最佳實踐：33％的受訪者表示自己的公司曾為開源項目做出了貢獻。但是，又有63％的受訪者表示他們的公司壓根并沒有開源采購或使用政策，當然也有43％的受訪者表示自己本身對開源項目也有做出貢獻。

不管怎樣，我們都不能忽視開源確實是一個明顯的捷徑。 Flexera產品管理副總裁Jeff Luszcz表示：“完全開源可獲取的代碼可以快速獲得產品，這對于軟件開發的快速節奏來說非常重要。” “然而，大多數軟件工程師并沒有在私下里去跟蹤開源的使用情況，而且有絕大部分的軟件高管都沒有意識到其安全/合規風險方面存在一定差距。”

事實上，對于開源軟件使用過程中的安全合規、許可等流程可能遠比簡單的拿來用要方便的多，但這些流程毫無疑問是必不可少的。

“開源軟件的安全合規流程能夠很好的保護產品和品牌聲譽。但大多數軟件和IoT廠商都沒有意識到存在的問題，所以他們并沒有保護自己和戶，”Luszcz說，“對于暴露產品合規性和漏洞風險的供應商，還有那些壓根就不知道他們運行開放源代碼和其他第三方軟件的客戶，甚至可能是包含軟件漏洞的客戶 ，這些都是會危及到整個軟件供應鏈。”

2017慧都十四周年狂歡搞事情！砸金蛋100%抽現金紅包、滿額豪送iPhone X、iPhone 8、DevExpress漢化免費送、團隊升級培訓套包勁省10萬元......更多驚喜等您來探索！