微软拥有全球最大的开源软件平台GitHub，发现软件中17%的漏洞都是出于恶意目的而植入的。

GitHub报告称，几乎五分之一的软件漏洞都是由恶意参与者在其2020年Octoverse报告于昨天发布

专有软件制造商多年来一直因“保密性差”或未提供源代码供外部专家审查而受到批评。另一方面，开源被视为一种更透明的开发方式，因为在理论上，它可以被任何人审查https://www.techrepublic.com/resource-library/downloads/security-awareness-and-training-policy/？ftag=CMG-01-10aaa1b“target=”nu blank“rel=”noopener noreferrer“data component=”externalLink“>安全意识和培训政策（TechRepublic Premium）

，但事实是，由于缺乏资金和人力资源的限制，它往往没有经过审查。

这是一个很好的潜在例子开源软件缺陷的影响是令人心痛的，谷歌一位研究人员在2014年披露了OpenSSL中的漏洞，这让人们看到了许多开源软件项目的资金多么匮乏。

影响了互联网基础设施的核心部分，心血促使亚马逊、IBM、Intel、Microsoft、Cisco和VMware向Linux基金会注资，形成了过去几年的核心基础设施计划（CII）

，GitHub有一直在大量投资工具以帮助开源项目通过依赖关系图修复安全缺陷，与其安全警报功能一起工作的功能。

安全警报服务扫描开放源代码项目中使用的软件依赖项（软件库），并在检测到已知漏洞时自动向项目所有者发出警报。该服务支持用Java、JavaScript、.NET、Python、Ruby和PHP编写的项目。

GitHub的2020年Octoverse报告指出，使用开源依赖性最多的是JavaScript（94%）、Ruby（90%）和.NET（90%），GitHub强调，大多数漏洞都只是简单的旧错误。

“这些恶意漏洞通常存在于很少使用的包中，但只触发了0.2%的警报。虽然恶意攻击更容易引起安全界的注意，但大多数漏洞都是由错误引起的https://www.zdnet.com/article/open-source-software-security-vulnerabilities-exist-for-over-four-years-before-detection-study/“>正如ZDNet的查理·奥斯本报道的那样，开源项目中的漏洞在向公众公开之前平均有四年没有被发现。根据GitHub的说法，发布补丁大约需要一个月的时间。换句话说，尽管GitHub努力在开源项目中自动修复bug，但仍有改进的余地。

GitHub在其报告中指出，“绝大多数”有意的后门都来自npm生态系统。ZDNet的Catalin Cimpanu本周报告称，npm安全团队不得不从npm网站上删除一个恶意JavaScript库，该库包含用于打开程序员计算机后门的恶意软件。鉴于JavaScript是GitHub上最流行的编程语言

请参见：谷歌：这是我们通过GitHub活动为开源付出的代价

GitHub指出，只有0.2%的安全警报与明显的恶意活动有关。

”这是GitHub解释说：“在一个以自愿提交访问为准则的生态系统中，保持对开源的信任是对代码完整性和连续性的保证，

”这需要更好地理解项目的贡献图、一致的同行评审、提交和发布签名，并通过多因素身份验证（MFA）强制实施帐户安全性。“

GibHub指出，漏洞可能包括“后门”，即故意植入软件中的软件漏洞，以方便攻击，和'google研究员：我在我的卧室里做了这个“神奇”的iphone wi-fi黑客游戏，想象一下其他人能做什么

编程语言：微软字体在C++、PHP和C++上优于Github < /A> < /P> < P> < HRF= =“/WORTES -10S开源软件-PORTOTY-VIE-METHOTE-MUTION工具-HEST-BED”SmithOpReSt/ =“MulnTyReCo”=“MultCeLICK”数据OMNEYRATE数据=“{”MeimeEngIn（信息）：“更多来自作者”，“pageType”：“article”}>windows10的开源PowerToys:Video meeting mute tool受到大流行病的打击，微软通过注册，您同意
2023-03-22 10:04:24