A9 - Using Components with Known Vulnerabilities 使用已有漏洞的元件

近來，開源（Open Source）的風氣越來越盛行，每年也會舉辦開源者大會（COSCUP），分享自身在開源道路上的心得感想或是推廣，是一個值得大家去朝聖的地方www。不過這次我們要講的是人人都喜愛的開源軟體（Open Source Software），簡稱 OSS。

那究竟為什麼 OSS 會有不安全的地方呢？ 其實...

現行開發模式有 Dev Ops 及 Agile，為達到快速產出，開發人員通常會引用 OSS，卻沒監控該 OSS 的弱點問題，包括函式庫、框架及其他的軟體模組等，而 OSS 卻會和應用程式以相同的權限執行。

當如果有一個容易受到攻擊的 OSS 被駭客利用，就可能導致資料洩漏或伺服器被利用，且使用有漏洞的應用程式或 API，都會破壞應用程式的防護，讓各種攻擊形式接踵而來。這也意味著，許多開發者在使用 OSS 模組或框架的習慣不好，除造成資料遺失外，也代表沒有即時升級或更新到最新版。

舉例

• 使用有漏洞的 PHP 版本
• 過時的內核版本 Linux
• 未被修補的視窗系統
• 有漏洞的 jQuery 版本

防護建議

• 定期修補程序
• 訂閱不同有分享最新漏洞的 CVE 號碼和緩解技術/修復程式的論壇。檢查該漏洞是否影響庫存中的設備/軟體並修復它們。

.
.
.