你常常会对你的桌面系统进行病毒查抄，并且按期更新平台上所有运行的办事器利用法度，但利用法度本身安然吗?

　　Sonatype公司今天发布了其年度开源软件开辟查询拜访的成果，这个查询拜访着眼于开辟人员利用开源组件的程度，出格侧重于查询拜访他们若何均衡速度和安然性的需要。Sonatype查询拜访了来自50多个国度的3500人(此中85%以上是开辟人员)，来体味他们组装软件所采取的编制。成果表白开辟人员对某些组件的依托：起码有80%的典型的Java利用法度此刻是经由过程开源组件和框架来组装的。

　　多年来一向都是如许，但这很好地说了然组件组装概念的完全成熟，而不是从头开端编写代码——虽然其重点主如果在Java组件。Node Package Manager(npm)、CPAN和比来的PHP Composer等东西的普及表白Sonatype的查询拜访成果可能反应了一种遍及的趋势，这与利用何种说话无关。假定你扣问任何受雇的开辟人员，他们城市奉告你：组件是事物成立的编制。

　　但是，这提出了新的标题问题。Sonatype得出如许的结论，开辟人员没有跟进最新的安然标题问题。该查询拜访陈述称，经由过程组件构建的利用法度中，71%的利用法度利用起码一种具有已知安然标题问题标组件版本，而解决这些安然标题问题标更新版本已发布。在2012年，4600万不服安版本的组件被下载。曾，安然意味着保持你的现成的软件或LAMP仓库软件的更新和完全修复，但这已不再是一个安然的假定。

　　笔者扣问Sonatype首席履行官Wayne Jackson是不是有任何证据表白CERT发布的关头安然标题问题(CVE)的数量有所增加——来自组件缝隙操纵而不是对开辟完成的软件的缝隙操纵。在2006年，只有8个CVE肯定了某个组件作为风险来历，而到2012年，这个数量已上升到50。今天，假定想要确保企业安然，只是保障平台的更新是不足够的，还需要一个政策来保障利用法度的安然。

　　与其他组件库比拟，这个标题问题在Maven可能加倍较着，Maven修复POM中的版本号，而不是供给版本范围。当然，利用npm的Javascript编程员和利用PHP Composer的PHP编程员可以或许指定不会打破API兼容性的随后次要版本是可以接管的，和经由过程简单的号令来更新其软件。但这其实不只是一个开源标题问题或只是Java标题问题，从自闭源供给商采办的转悠组件也可能遭到不异的影响。

　　天然地，Sonatype有一个产品可以帮忙解决这个标题问题，但底子标题问题是，我们大年夜大都人底子没成心想到开辟人员对组件的选择可以或许主宰我们的系统。报复打击者可以操纵组件中的缝隙操纵作为进进系统的进口，而是用该组件的企业中的利用法度可能永久没法经由过程更新来封锁这个进口和解决这个标题问题。该查询拜访发现只有38%的受访企业可以或许节制器利用法度是用的组件，并确保按期的安然更新。

　　收集安然是很是首要的工作，乃至已被提上国度政治议程，但我们真的大白若何实现安然性吗?此刻企业开辟已逐步转向组件，而不是利用企业内部平台中运行的自定义代码，企业应当意想到这一个事实，防备报复打击者，要知道，他们正在对准你的组件，而不只是你的办事器。(邹铮编译)