信息來源:IT之家
Synopsys 公司發(fā)布了 2020 年開源安全和風(fēng)險分析(OSSRA)報告,該報告由 Synopsys 網(wǎng)絡(luò)安全研究中心(CyRC)制作�����,研究了由黑鴨審計(jì)服務(wù)團(tuán)隊(duì)進(jìn)行的 1,250 多次商業(yè)代碼庫審計(jì)的結(jié)果�����。重點(diǎn)介紹了商業(yè)應(yīng)用程序中開源使用的趨勢和模式,并提供了見解和建議�����,以幫助組織從安全性�����,許可證合規(guī)性和運(yùn)營角度更好地管理開源風(fēng)險�����。
該報告重申了開源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用�����,揭示了過去一年中幾乎所有(99%)的經(jīng)審核代碼庫均至少包含一個開源組件�����,其中開源代碼占總體代碼的70%�����。然而更值得注意的是,老化或廢棄的開源組件的繼續(xù)廣泛使用�����,其中 91% 的代碼庫包含的組件已經(jīng)過時四年以上�����,或者在過去兩年中沒有開發(fā)活動�����。
此外�����,更令人擔(dān)憂的則是不受管理的開放源代碼帶來的日益嚴(yán)重的安全風(fēng)險的趨勢�����。經(jīng)過審計(jì)的代碼庫中有 75% 包含具有已知安全漏洞的開源組件�����;同時�����,幾乎一半(49%)的代碼庫包含高風(fēng)險漏洞�����;兩者比例都實(shí)現(xiàn)了同比增長�����。
Synopsys 網(wǎng)絡(luò)安全研究中心首席安全策略師 Tim Mackey 表示:“很難否認(rèn)開源軟件在現(xiàn)代軟件開發(fā)和部署中扮演的重要角色�����,但是很容易從安全和許可證合規(guī)性的角度忽略開源軟件如何影響您的應(yīng)用程序風(fēng)險態(tài)勢�����?����!?020 OSSRA 報告強(qiáng)調(diào)了組織如何繼續(xù)努力有效地跟蹤和管理其開源風(fēng)險�����。維護(hù)包括開放源代碼依賴項(xiàng)在內(nèi)的第三方軟件組件的準(zhǔn)確清單,并使其保持最新狀態(tài)�����,是從多個層面解決應(yīng)用程序風(fēng)險的關(guān)鍵起點(diǎn)�����?����!?
2020 OSSRA 報告中一些值得關(guān)注的開源風(fēng)險趨勢總結(jié)如下:
-
開源的采用率繼續(xù)飆升�����。99% 的代碼庫至少包含一些開源�����,每個代碼庫平均有 445 個開源組件�����,比 2018 年的 298 個有了顯著增加�����。經(jīng)過審核的代碼中有 70 % 被確定為開源�����,這一數(shù)字從 2018 年的 60% 增長到 2015 年(36%)以來的近兩倍�����。
-
過時的和“廢棄的”開源組件無處不在�����。 91% 的代碼庫包含的組件或者已經(jīng)過時四年以上�����,或者在過去兩年中沒有開發(fā)活動�����。除了存在安全漏洞的可能性增加之外�����,使用過時的開源組件的風(fēng)險還在于更新它們還會帶來不必要的功能或兼容性問題。
-
易受攻擊的開源組件的使用再次呈上升趨勢�����。在 2017 年至 2018 年期間�����,包含易受攻擊的開源組件的代碼庫所占比例從 78% 下降至 60% 之后�����,在 2019 年上升至 75%�����。同樣�����,包含高風(fēng)險漏洞的代碼庫的百分比從 2018 年的 40% 上升到 2019 年的 49%�����。幸運(yùn)的是�����,2019 年審核的代碼庫均未受到臭名昭著的 Heartbleed 錯誤或 2017 年困擾 Equifax 的 Apache Struts 漏洞的影響�����。
-
開源許可證沖突繼續(xù)使知識產(chǎn)權(quán)面臨風(fēng)險�����。 68% 的代碼庫包含某種形式的開放源代碼許可證沖突�����,而 33% 的代碼庫包含沒有可識別許可證的開放源代碼組件�����。許可證沖突的發(fā)生率因行業(yè)而異�����,從最高的 93%(互聯(lián)網(wǎng)和移動應(yīng)用程序)到相對較低的 59%(虛擬現(xiàn)實(shí)�����、游戲、娛樂�����、媒體)不等�����。
