加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

新思科技發(fā)布《2022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告

2022/05/23
554
閱讀需 5 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

開源是當(dāng)下社會(huì)所依賴的每一個(gè)應(yīng)用程序的基礎(chǔ)。識別、跟蹤和管理開源代碼對于有效確保軟件安全至關(guān)重要。無論是開發(fā)人員還是消費(fèi)者都應(yīng)該更好地了解開源生態(tài)系統(tǒng),并負(fù)責(zé)任地管理開源,對其使用進(jìn)行妥善管理。

新思科技(Synopsys, Nasdaq:?SNPS) 近日發(fā)布了《2022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心 (CyRC) 編制,分析了由Black Duck?審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對2,400多項(xiàng)商業(yè)和專有代碼庫的并購交易審計(jì)結(jié)果。該報(bào)告強(qiáng)調(diào)了在商業(yè)和專有應(yīng)用程序中使用開源的趨勢,并提供了見解,以幫助開發(fā)人員更好地了解他們所處的互聯(lián)軟件生態(tài)系統(tǒng),同時(shí)還詳細(xì)地介紹了非托管開源所帶來的安全隱患,包括安全漏洞、過期或廢棄的組件以及許可證合規(guī)性問題。

2022年OSSRA報(bào)告強(qiáng)調(diào),開源組件在每個(gè)行業(yè)都被廣泛使用,并且是當(dāng)今所有應(yīng)用程序的構(gòu)建基礎(chǔ)。

  • 使用過時(shí)的開源組件仍然是常態(tài)。易受攻擊的Log4j版本也含有過時(shí)開源組件。在Black Duck審計(jì)服務(wù)團(tuán)隊(duì)今年分析的2,409個(gè)代碼庫中,87%(即2,097)實(shí)施了安全與風(fēng)險(xiǎn)評估*。從運(yùn)營風(fēng)險(xiǎn)/維護(hù)方面來看,在2,097個(gè)代碼庫中,85%的代碼庫中包含至少四年未更新的開源代碼;88%的代碼庫中包含過時(shí)版本的組件;5%的代碼庫含有易受攻擊的Log4j版本。
  • 經(jīng)過評估的代碼庫顯示,開源漏洞數(shù)量總體減少。2,097個(gè)代碼庫經(jīng)過安全與運(yùn)營風(fēng)險(xiǎn)評估,其中包含至少一個(gè)高風(fēng)險(xiǎn)開源漏洞的代碼庫數(shù)量大幅減少。今年的被審代碼庫中只有49%包含至少一個(gè)高風(fēng)險(xiǎn)漏洞,2021年為60%。此外,81%包含至少一個(gè)已知的開源漏洞,與 2021 年 OSSRA 的調(diào)查結(jié)果相比減少了 3%。
  • 許可證沖突總體上也在減少。 超過一半(53%)的被審代碼庫存在許可證沖突,與 2020 年的 65% 相比大幅下降??傮w而言,特定許可證沖突在 2020 年至 2021 年期間減少了。
  • 30%的被審代碼庫中都包含無許可證或使用定制許可證的開源代碼。如果未經(jīng)創(chuàng)作者/作者以授權(quán)許可證的形式明確允許,其他人則不能合法地使用、復(fù)制、分發(fā)或修改該軟件。沒有許可證的軟件可能意味著使用開源組件帶來的法律風(fēng)險(xiǎn)。定制化的開源代碼許可證可能會(huì)對被許可方提出非預(yù)期的要求,因此經(jīng)常需要對可能的知識產(chǎn)權(quán)IP問題或其它影響進(jìn)行法律評估。

新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示:“使用軟件組成分析(SCA)工具的用戶已經(jīng)將重點(diǎn)放在減少開源許可證沖突和解決高風(fēng)險(xiǎn)漏洞上。得益于此,我們今年可以看到許可證沖突問題和高風(fēng)險(xiǎn)漏洞數(shù)量已經(jīng)減少。但是我們不能忽略,經(jīng)過審計(jì)的代碼庫中有超過一半仍然存在許可證沖突,近一半包含高風(fēng)險(xiǎn)漏洞。更令人不安的是,88%被審代碼庫中包含過時(shí)版本的開源組件。而且往往這些組件有可用的更新版本或補(bǔ)丁,但沒有被采用。”

Tim Mackey指出:“沒有將軟件升級到最新版本的理由有很多。但是,如果企業(yè)沒有一份清單,準(zhǔn)確列明其在代碼使用的開源組件,那過時(shí)的組件可能就會(huì)被遺忘;直到變成一個(gè)易受攻擊的高風(fēng)險(xiǎn)漏洞,企業(yè)才慌忙查找這個(gè)組件用在哪里,然后去進(jìn)行更新。這正是Log4j面臨的情況。這也是軟件供應(yīng)鏈和軟件物料清單(software Bill of Materials, SBOM)成為當(dāng)下行業(yè)熱點(diǎn)的原因。”

*在2022年的OSSRA報(bào)告中,“開源漏洞與安全”以及“開源維護(hù)”部分的數(shù)據(jù)基于包含風(fēng)險(xiǎn)評估的 2,097個(gè)代碼庫,而“許可證”部分的數(shù)據(jù)則基于全部的2,409個(gè)代碼庫。

?

相關(guān)推薦

電子產(chǎn)業(yè)圖譜