開(kāi)源是當下社會(huì )所依賴(lài)的每一個(gè)應用程序的基礎。識別、跟蹤和管理開(kāi)源代碼對于有效確保軟件安全至關(guān)重要。無(wú)論是開(kāi)發(fā)人員還是消費者都應該更好地了解開(kāi)源生態(tài)系統，并負責任地管理開(kāi)源，對其使用進(jìn)行妥善管理。

　　新思科技(Synopsys， Nasdaq： SNPS) 近日發(fā)布了《2022年開(kāi)源安全和風(fēng)險分析》報告（OSSRA）。該報告由新思科技網(wǎng)絡(luò )安全研究中心 (CyRC) 編制，分析了由Black Duck？審計服務(wù)團隊執行的對2，400多項商業(yè)和專(zhuān)有代碼庫的并購交易審計結果。該報告強調了在商業(yè)和專(zhuān)有應用程序中使用開(kāi)源的趨勢，并提供了見(jiàn)解，以幫助開(kāi)發(fā)人員更好地了解他們所處的互聯(lián)軟件生態(tài)系統，同時(shí)還詳細地介紹了非托管開(kāi)源所帶來(lái)的安全隱患，包括安全漏洞、過(guò)期或廢棄的組件以及許可證合規性問(wèn)題。

　　2022年OSSRA報告強調，開(kāi)源組件在每個(gè)行業(yè)都被廣泛使用，并且是當今所有應用程序的構建基礎。

　　新思科技網(wǎng)絡(luò )安全研究中心首席安全策略師Tim Mackey表示："使用軟件組成分析(SCA)工具的用戶(hù)已經(jīng)將重點(diǎn)放在減少開(kāi)源許可證沖突和解決高風(fēng)險漏洞上。得益于此，我們今年可以看到許可證沖突問(wèn)題和高風(fēng)險漏洞數量已經(jīng)減少。但是我們不能忽略，經(jīng)過(guò)審計的代碼庫中有超過(guò)一半仍然存在許可證沖突，近一半包含高風(fēng)險漏洞。更令人不安的是，88%被審代碼庫中包含過(guò)時(shí)版本的開(kāi)源組件。而且往往這些組件有可用的更新版本或補丁，但沒(méi)有被采用。"

　　Tim Mackey指出："沒(méi)有將軟件升級到最新版本的理由有很多。但是，如果企業(yè)沒(méi)有一份清單，準確列明其在代碼使用的開(kāi)源組件，那過(guò)時(shí)的組件可能就會(huì )被遺忘；直到變成一個(gè)易受攻擊的高風(fēng)險漏洞，企業(yè)才慌忙查找這個(gè)組件用在哪里，然后去進(jìn)行更新。這正是Log4j面臨的情況。這也是軟件供應鏈和軟件物料清單(software Bill of Materials， SBOM)成為當下行業(yè)熱點(diǎn)的原因。"

　　下載2022年OSSRA報告。https://www.synopsys.com/zh-cn/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral

　　*在2022年的OSSRA報告中，"開(kāi)源漏洞與安全"以及"開(kāi)源維護"部分的數據基于包含風(fēng)險評估的 2，097個(gè)代碼庫，而"許可證"部分的數據則基于全部的2，409個(gè)代碼庫。