修复软件漏洞的稳定性成本

关键要点

修复漏洞的成本让开发者不愿意解决软件中的已知缺陷。应用开发者与包开发者之间存在较大脱节。更新依赖库的版本可能导致兼容性问题。开发者应更新SCA工具以更好地分析依赖关系。

根据Endor Labs的研究，修复软件中的漏洞所需的稳定性成本可能会阻止许多开发者处理自己软件中的已知缺陷。这些修补程序和措施可能带来下游影响。

研究人员表示：“如果他们不遵循最佳实践，应用开发者可能会根据非漏洞版本标识符创建直接依赖关系。”这将导致包管理器的解析逻辑优先选择直接指定的版本。

安全公司指出，软件包的开发者无论是开源还是闭源与使用这些软件包的用户之间存在着重大脱节。因此，包的更新往往会对代码和组件进行更改，这些更改可能不会与软件的早期版本兼容。当一个应用程序建立在这些不断变化的框架上时，保持稳定性就变得困难。

这进一步导致开发者可能选择让自己的应用程序继续使用早期版本，而这些版本现在已经容易受到攻击。

Endor Labs指出：“看似最简单的解决方案是更新到非漏洞依赖版本。”然而，听起来简单的原则毕竟，你只需要将版本标识符更新为一个非漏洞版本，对吧？实际上可能会导致兼容性问题和回归，从而在开发或运行时破坏应用程序。

为了缓解这一问题，Endor Labs建议开发者尝试更新他们的SCA软件组成分析系统，使用可以更好分析依赖关系的工具，并查看代码是否调用了最近更新或修补的工具，这些工具可能会涉及到下游存在的缺陷。

白鲸加速器正版

这将有助于防止供应商受到上游攻击或尚未公开的漏洞黑客攻击的影响。

安全公司指出：“SCA工具最基本的角色之一是将漏洞列表与您的应用程序代码进行关联，以判断您是否可能受到风险。”这需要该工具生成准确的软件清单包括直接及传递依赖关系，并能访问一个强大的漏洞数据库。

通过及时更新和分析工具，开发者可以更有效地管理和修复软件中的漏洞，提高软件的安全性和稳定性。