行業(yè)動態(tài)

報告:91 % 的商業(yè) App 包含過時或廢棄開源組件

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-05-15    瀏覽次數(shù):
 

信息來源:IT之家


Synopsys 公司發(fā)布了 2020 年開源安全和風(fēng)險分析(OSSRA)報告,該報告由 Synopsys 網(wǎng)絡(luò)安全研究中心(CyRC)制作,研究了由黑鴨審計服務(wù)團隊進行的 1,250 多次商業(yè)代碼庫審計的結(jié)果。重點介紹了商業(yè)應(yīng)用程序中開源使用的趨勢和模式,并提供了見解和建議,以幫助組織從安全性,許可證合規(guī)性和運營角度更好地管理開源風(fēng)險。

該報告重申了開源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用,揭示了過去一年中幾乎所有(99%)的經(jīng)審核代碼庫均至少包含一個開源組件,其中開源代碼占總體代碼的70%。然而更值得注意的是,老化或廢棄的開源組件的繼續(xù)廣泛使用,其中 91% 的代碼庫包含的組件已經(jīng)過時四年以上,或者在過去兩年中沒有開發(fā)活動。

此外,更令人擔(dān)憂的則是不受管理的開放源代碼帶來的日益嚴重的安全風(fēng)險的趨勢。經(jīng)過審計的代碼庫中有 75% 包含具有已知安全漏洞的開源組件;同時,幾乎一半(49%)的代碼庫包含高風(fēng)險漏洞;兩者比例都實現(xiàn)了同比增長。

Synopsys 網(wǎng)絡(luò)安全研究中心首席安全策略師 Tim Mackey 表示:“很難否認開源軟件在現(xiàn)代軟件開發(fā)和部署中扮演的重要角色,但是很容易從安全和許可證合規(guī)性的角度忽略開源軟件如何影響您的應(yīng)用程序風(fēng)險態(tài)勢。”2020 OSSRA 報告強調(diào)了組織如何繼續(xù)努力有效地跟蹤和管理其開源風(fēng)險。維護包括開放源代碼依賴項在內(nèi)的第三方軟件組件的準確清單,并使其保持最新狀態(tài),是從多個層面解決應(yīng)用程序風(fēng)險的關(guān)鍵起點?!?

2020 OSSRA 報告中一些值得關(guān)注的開源風(fēng)險趨勢總結(jié)如下:

  • 開源的采用率繼續(xù)飆升。99% 的代碼庫至少包含一些開源,每個代碼庫平均有 445 個開源組件,比 2018 年的 298 個有了顯著增加。經(jīng)過審核的代碼中有 70 % 被確定為開源,這一數(shù)字從 2018 年的 60% 增長到 2015 年(36%)以來的近兩倍。

  • 過時的和“廢棄的”開源組件無處不在。 91% 的代碼庫包含的組件或者已經(jīng)過時四年以上,或者在過去兩年中沒有開發(fā)活動。除了存在安全漏洞的可能性增加之外,使用過時的開源組件的風(fēng)險還在于更新它們還會帶來不必要的功能或兼容性問題。

  • 易受攻擊的開源組件的使用再次呈上升趨勢。在 2017 年至 2018 年期間,包含易受攻擊的開源組件的代碼庫所占比例從 78% 下降至 60% 之后,在 2019 年上升至 75%。同樣,包含高風(fēng)險漏洞的代碼庫的百分比從 2018 年的 40% 上升到 2019 年的 49%。幸運的是,2019 年審核的代碼庫均未受到臭名昭著的 Heartbleed 錯誤或 2017 年困擾 Equifax 的 Apache Struts 漏洞的影響。

  • 開源許可證沖突繼續(xù)使知識產(chǎn)權(quán)面臨風(fēng)險。 68% 的代碼庫包含某種形式的開放源代碼許可證沖突,而 33% 的代碼庫包含沒有可識別許可證的開放源代碼組件。許可證沖突的發(fā)生率因行業(yè)而異,從最高的 93%(互聯(lián)網(wǎng)和移動應(yīng)用程序)到相對較低的 59%(虛擬現(xiàn)實、游戲、娛樂、媒體)不等。


 
 

上一篇:亞馬遜發(fā)起民事訴訟:指控兩家公司偽造應(yīng)用和網(wǎng)站詐騙

下一篇:2020年05月15日 聚銘安全速遞