新思科技發(fā)布《2022年開源安全和風險分析》報告 強調了在軟件供應鏈中管理開源風險的核心挑戰(zhàn)

開源是當下社會所依賴的每一個應用程序的基礎。識別、跟蹤和管理開源代碼對于有效確保軟件安全至關重要。無論是開發(fā)人員還是消費者都應該更好地了解開源生態(tài)系統(tǒng)，并負責任地管理開源，對其使用進行妥善管理。

新思科技(Synopsys, Nasdaq: SNPS) 近日發(fā)布了《2022年開源安全和風險分析》報告（OSSRA）。該報告由新思科技網(wǎng)絡安全研究中心 (CyRC) 編制，分析了由Black Duck?審計服務團隊執(zhí)行的對2,400多項商業(yè)和專有代碼庫的并購交易審計結果。該報告強調了在商業(yè)和專有應用程序中使用開源的趨勢，并提供了見解，以幫助開發(fā)人員更好地了解他們所處的互聯(lián)軟件生態(tài)系統(tǒng)，同時還詳細地介紹了非托管開源所帶來的安全隱患，包括安全漏洞、過期或廢棄的組件以及許可證合規(guī)性問題。

2022年OSSRA報告強調，開源組件在每個行業(yè)都被廣泛使用，并且是當今所有應用程序的構建基礎。

? 使用過時的開源組件仍然是常態(tài)。易受攻擊的Log4j版本也含有過時開源組件。在Black Duck審計服務團隊今年分析的2,409個代碼庫中，87%（即2,097）實施了安全與風險評估*。從運營風險/維護方面來看，在2,097個代碼庫中，85%的代碼庫中包含至少四年未更新的開源代碼；88%的代碼庫中包含過時版本的組件；5%的代碼庫含有易受攻擊的Log4j版本。

? 經過評估的代碼庫顯示，開源漏洞數(shù)量總體減少。2,097個代碼庫經過安全與運營風險評估，其中包含至少一個高風險開源漏洞的代碼庫數(shù)量大幅減少。今年的被審代碼庫中只有49%包含至少一個高風險漏洞，2021年為60%。此外，81%包含至少一個已知的開源漏洞，與 2021 年 OSSRA 的調查結果相比減少了 3%。

? 許可證沖突總體上也在減少。 超過一半(53%)的被審代碼庫存在許可證沖突，與 2020 年的 65% 相比大幅下降?？傮w而言，特定許可證沖突在 2020 年至 2021 年期間減少了。

?  30%的被審代碼庫中都包含無許可證或使用定制許可證的開源代碼。如果未經創(chuàng)作者/作者以授權許可證的形式明確允許，其他人則不能合法地使用、復制、分發(fā)或修改該軟件。沒有許可證的軟件可能意味著使用開源組件帶來的法律風險。定制化的開源代碼許可證可能會對被許可方提出非預期的要求，因此經常需要對可能的知識產權IP問題或其它影響進行法律評估。

新思科技網(wǎng)絡安全研究中心首席安全策略師Tim Mackey表示：“使用軟件組成分析(SCA)工具的用戶已經將重點放在減少開源許可證沖突和解決高風險漏洞上。得益于此，我們今年可以看到許可證沖突問題和高風險漏洞數(shù)量已經減少。但是我們不能忽略，經過審計的代碼庫中有超過一半仍然存在許可證沖突，近一半包含高風險漏洞。更令人不安的是，88%被審代碼庫中包含過時版本的開源組件。而且往往這些組件有可用的更新版本或補丁，但沒有被采用?！?/p>

Tim Mackey指出：“沒有將軟件升級到最新版本的理由有很多。但是，如果企業(yè)沒有一份清單，準確列明其在代碼使用的開源組件，那過時的組件可能就會被遺忘；直到變成一個易受攻擊的高風險漏洞，企業(yè)才慌忙查找這個組件用在哪里，然后去進行更新。這正是Log4j面臨的情況。這也是軟件供應鏈和軟件物料清單(software Bill of Materials, SBOM)成為當下行業(yè)熱點的原因?！?/p>

下載2022年OSSRA報告。

*在2022年的OSSRA報告中，“開源漏洞與安全”以及“開源維護”部分的數(shù)據(jù)基于包含風險評估的 2,097個代碼庫，而“許可證”部分的數(shù)據(jù)則基于全部的2,409個代碼庫。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。