OpenJS 基金会公布了一项基于 IDC 调查的最终用户审计结果显示,十亿个网站中有四分之三的网站正在使用过时的软件,并且其中大多数网站都会收集个人和财务信息。超过三分之一的受访者证实,在过去 24 个月中曾经历过安全事件。
OpenJS 基金会分析了本次最终用户审计的 IDC 调查结果和其他数据点,估计全球 19 亿个网站中有近 90% 使用开源软件 jQuery,其中 7.5 亿个站点需要升级。鉴于问题的严重性,OpenJS 基金会建议在 Web 安全性方面进行行为改变。
“jQuery 使网页开发变得简单易用,但也导致数亿个网站仍然使用旧的、不受支持的版本。即使 jQuery 团队发布安全修复,这些网站通常也不会进行更新,从而导致容易受到攻击。”
主要发现包括:
- 89%的随机调查受访者报告称,他们知道自己的互联网面向的网站上使用了 jQuery。
- 其中 80% 的组织会捕获个人身份信息 (PII) 等重要信息,包括付款信息 (52%)、位置 (64%)、联系信息 (80%)。
- 85%的受访者认为,网站是必不可少或极其重要的。
- 安全事件造成的业务损失严重,28%的受访者表示有客户流失,29%的受访者表示造成了收入损失。此外还有 39% 的受访者报告了违规行为,45% 的受访者报告了品牌受损。
- 48% 的受访者表示,提升安全性是升级的首要动机。
IDC 软件开发和开源 IDC 集团副总裁 Al Gillen 称:“这项研究给我们带来的启示很简单:jQuery 用户可以使用一项强大的、由社区支持的技术,他们无需支付订阅费用即可获得或使用这项技术,而且这个项目还在不断得到投资和改进。用户已经从这项技术中享受到了可观的收益,但如果你还没有使用最新版本,那么为了你的业务,你有义务升级到一个受支持版本,以实现收益最大化和潜在风险最小化。”
OpenJS 基金会执行董事 Robin Bender Ginn 则表示,“当十亿个网站中有四分之三仅仅因为一个开源项目而需要升级时,问题就大了。这让我们相信,公司正在使用更过时和不受支持的技术,有可能将消费者置于风险之中。要解决如此大规模的问题,我们需要开始考虑定期评估网站技术,就像人们每年都去医生那里做体检一样。”
为此,OpenJS 基金会正在开发一款免费的 Healthy Web 检查工具,以广泛提供给世界各地的企业和组织。该检查工具只需耗时 5 秒,但目前仅可用于检查 jQuery 的版本,OpenJS 基金会计划接下来将其扩展到更多网络健康相关的开源 JavaScript 项目。
jQuery 核心团队成员兼高级软件工程师 Michał Gołębiowski-Owczarek 也呼吁称,改善网站健康状况的第一步是确定该的技术堆栈是否需要升级。在团队不断地改进 jQuery 的安全性和性能的同时,也建议大家使用 Healthy Web checkup 工具或自己的评估工具来检查网站上使用的软件版本。
OpenJS Healthy Web 检查工具目前处于 beta 阶段,仅限技术评估人员和 OpenJS 成员使用,计划于 2024 年初全面推出。