現代應用中始終包含大量的開(kāi)源組件,并可能存在安全 性、許可和代碼質(zhì)量問(wèn)題。如何管理開(kāi)源的使用非常重要。對商業(yè)軟件與開(kāi)源軟件之間的差異越是關(guān)注,結果就越好。
新思科技的年度OSSRA報告旨在深入剖析商業(yè)軟件中開(kāi)源安全性、合規性和代碼質(zhì)量風(fēng)險的情況,助力企業(yè)開(kāi)發(fā)安全、高質(zhì)量的軟件。
美國新思科技公司 (Synopsys, Nasdaq: SNPS)近日發(fā)布了(2020年開(kāi)源安全和風(fēng)險分析》報告(OSSRA)。該報告由新思科技網(wǎng)絡(luò )安全研究中心 (CyRC)制作,研究了由Black Duck審計服務(wù)團隊執行的對超過(guò)1,250個(gè)商業(yè)代碼庫的審計結果。報告重點(diǎn)介紹了在商業(yè)應用程序中開(kāi)源應用的趨勢和模式,并且提供見(jiàn)解和建議,以幫助企業(yè)從安全性、許可證合規性和操作角度更好地管理開(kāi)源風(fēng)險。
2020 OSSRA報告重申了開(kāi)源在當今軟件生態(tài)系統中的關(guān)鍵作用,揭示了過(guò)去一年中經(jīng)過(guò)審計的所有有效代碼庫(99%)至少包含一個(gè)開(kāi)源組件,其中開(kāi)源占所有代碼的70%。值得注意的是,老化或廢棄的開(kāi)源組件仍然被廣泛使用,91%的代碼庫中包含的組件已經(jīng)過(guò)期四年以上或過(guò)去兩年中沒(méi)有開(kāi)發(fā)活動(dòng)。
在今年的分析中,最令人擔憂(yōu)的趨勢是未管理的開(kāi)源代碼帶來(lái)的安全風(fēng)險日益增加,經(jīng)過(guò)審計的代碼庫中,75%包含具有已知安全漏洞的開(kāi)源組件,而去年這一比例是60%。同樣,將近一半(49%)的代碼庫包含高風(fēng)險漏洞,去年則為40%。
新思科技網(wǎng)絡(luò )安全研究中心首席安全策略師Tim Mackey表示:“我們很難摒棄開(kāi)源在現代軟件開(kāi)發(fā)和部署中扮演的重要角色;但是卻很容易從安全性和許可證合規性角度忽略它如何影響應用程序風(fēng)險態(tài)勢。2020年OSSRA報告強調企業(yè)如何持續努力有效地追蹤和管理其開(kāi)源風(fēng)險。維護一個(gè)準確的第三方軟件組件庫包括開(kāi)源依賴(lài)項,并對其保持更新是從多個(gè)層面處理應用程序風(fēng)險的關(guān)鍵起點(diǎn)。”
2020年OSSRA報告中最值得注意的開(kāi)源風(fēng)險趨勢包括:
- 開(kāi)源采用率持續增長(cháng)。99%的代碼庫包含至少一些開(kāi)源,每個(gè)代碼庫中平均有445個(gè)開(kāi)源組件,比2018年的298個(gè)有顯著(zhù)增加。被審計的代碼中有70%是開(kāi)源代碼,這一數字從2018年的60%增至目前,并且自2015年(36%)以來(lái)幾乎翻了一番。
- 過(guò)期和“廢棄”的開(kāi)源組件非常普遍。91%的代碼庫包含已經(jīng)過(guò)期四年以上或者近兩年沒(méi)有開(kāi)發(fā)活動(dòng)的組件。除了存在安全漏洞的可能性增加之外,使用過(guò)期的開(kāi)源組件的風(fēng)險在于更新它們還會(huì )帶來(lái)不必要的功能和兼容性問(wèn)題。
- 易受攻擊的開(kāi)源組件的使用再次呈上升趨勢。2019年,包含易受攻擊的開(kāi)源組件的代碼庫的比例從2017年的78%下降至2018年的60%之后增至了75%。同樣地,包含高風(fēng)險漏洞的代碼庫的比例由2018年的40%增至49%。幸運地是, 2019年審計的代碼庫中都沒(méi)有受到臭名昭著(zhù)的Heartbleed漏洞或2017年困擾Equifax的Apache Struts漏洞的影響。
- 開(kāi)源許可證沖突持續使知識產(chǎn)權面臨風(fēng)險。盡管開(kāi)源軟件擁有“免費”的優(yōu)勢,但它與其它軟件一樣都要受到許可證的約束。67%的代碼庫包含某種形式的開(kāi)源代碼許可證沖突,33%的代碼庫包含沒(méi)有可識別許可證的開(kāi)源組件。許可證沖突的發(fā)生率因行業(yè)而異,從最高的93%(互聯(lián)網(wǎng)和移動(dòng)應用程序)到相對較低的59%(虛擬現實(shí)、游戲、娛樂(lè )和媒體)。
想要了解更多,可以點(diǎn)擊下載點(diǎn)擊下載2020年OSSRA報告
