组织在开源依赖管理上仍显稚嫩

关键要点

在开源软件OSS广泛采用的背景下，组织在识别和管理依赖性方面普遍不成熟。这种依赖性的管理对于漏洞处理至关重要，而现有的漏洞数据库和缓解过程也存在显著问题。通过现代化的工具和方法，捕捉依赖性和优化资源配置，组织可以更有效地应对安全威胁。

大多数网络安全专业人士已经习惯于开源软件OSS的广泛采用以及针对OSS生态系统的软件供应链攻击不断上升的威胁。然而，许多组织在依赖性管理方面的能力仍显稚嫩，无法有效识别及处理相关的漏洞。在这种情况下，Endor Labs的“2024年依赖管理状态报告”提供了价值指导，帮助首席信息安全官CISO和其他安全领导者更好地理解这一问题。

“通常情况下，依赖性被视为第三方库、框架或其他软件组件，它们提供必要的功能而不需要从头编写，”报告指出。“人工智能在软件开发中的崛起只会加速幽灵依赖性和网络攻击的增加。我们永远无法做到百分之百的跟上，这就意味着应用安全团队必须回答的最重要的问题是：我们应该从哪里开始？”

漏洞管理依赖语境

传统的漏洞管理方法，例如依赖通用漏洞评分系统CVSS，可能会使我们无法高效操作，浪费时间和资源修复那些不清楚是否被利用或不稍可能被利用的漏洞。现代漏洞管理需要结合上下文，例如使用CISA的已知利用漏洞KEV目录、漏洞预测评分系统EPSS和可达性分析。

当这些与组织的业务上下文如资产重要性、数据敏感性和互联网暴露度结合时，能更清晰地指明漏洞管理的投资重点。Endor报告指出，只有不到95的漏洞在功能层面上是可被利用的；结合可达性和EPSS的数据后，漏洞管理噪音减少了98。

漏洞数据库生态系统存在问题

应用安全团队在管理OSS依赖性时面临的一个重大挑战是漏洞数据库生态系统的混乱。NIST的国家漏洞数据库NVD持续面临操作不力的问题，2024年初出现明显的故障，导致成千上万的漏洞缺乏分析和相关数据的丰富，而这些数据是将CVE与特定产品联系起来所需的。

目前，NVD有超过18000个未丰富的CVE，且自2024年6月以来新CVE的丰富率低于50。这一问题短期内没有改变的迹象。根据漏洞研究人员Jerry Gamblin的分析，2024年NVD的CVE数量年增长率达30，这并不令人意外。

漏洞通告发布时间延误造成问题

根据Endor Labs的报告，自公共补丁发布到漏洞数据库发布相关通告之间，平均需花费25天的时间。即便如此，只有2的通告包含有关特定库功能的信息，25的通告则包含不准确或不完整的数据，进一步复杂化了漏洞管理工作。

根据报告，69的安全通告在发布延迟上超过25天。这种延迟影响了组织在发现漏洞和实际修复漏洞之间的响应时间，进一步加大了面临漏洞风险的挑战。

报告时间线缺乏实用性

数据表明，修复漏洞的整体平均时间为212天，部分情况甚至更长。这样的情况再一次强调了对有效漏洞优先级评估和修复的需求，以期在漏洞被实际利用之前采取修复措施。即便是GitHub的GHSA，作为广泛使用的漏洞数据库，也存在一定问题，报告发现25的同时记录为CVE和GHSA的漏洞中，GHSA发布时间通常晚于CVE。

漏洞报告常常缺乏足够的代码级数据

NVD的另一个挑战是缺乏对包 URLPURL作为CVE内标识符的原生支持，这使漏洞无法