很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。
美国新思科技公司 (Synopsys, Nasdaq: SNPS ) 近日 发布了 《2019年开源安全和风险分析》(OSSRA)报告 。该报告由 新思科技网络安全研究中心 (CyRC) 制作,审查了由黑鸭审计服务团队执行的超过 1,200 个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。
报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。
新思科技网络安全研究中心首席安全策略师 Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。 2019 年 OSSRA 报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”
2019 年 OSSRA 报告中最值得注意的开源风险趋势包括:
· 开源采用率大幅提升。 2018 年审计的代码库中 96% 包含开源组件,每个代码库中平均有 298 个开源组件, 2017 年则为 257 个。
· 开源许可证冲突可能会使知识产权面临风险。 68% 的代码库包含某种形式的开源许可证冲突, 38% 的代码库包含没有可识别许可证的开源组件。
· “废弃”组件的使用很常见。 85% 的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护,也就意味着没有人正在处理其潜在的漏洞。
· 许多组织未能修补或更新其开源组件。 2018 年黑鸭审计中确定的漏洞的平均年龄是 6.6 年,略高于 2017 年 。这表明补救措施没有显著改善。 2018 年扫描的代码库中有 43% 包含超过十年以上的漏洞。国家漏洞数据库 (National Vulnerability Database) 显示 2018 年增加了 16,500 个新漏洞,其明确的修补流程需要扩展以适应增加的披露的漏洞。
· 并非所有的漏洞都相同,但许多企业甚至没有解决那些风险最高的漏洞。 超过 40% 的代码库包含至少一个高风险开源漏洞。
报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在, 2019 年 OSSRA 报告数据表明,在 Equifax 数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:
· 企业在管理开源安全漏洞方面正渐入佳境。 2018 年审计的代码库中有 60% 包含至少一个漏洞,相比 2017 年的 78% 已经改善不少。
· 总体而言,开源许可证合规性也得到了改善。 2018 年审计的代码库中有 68% 包含有许可证冲突的组件, 2017 年则为 74% 。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 中国开源云联盟耿航:中国开源软件的发展趋势
- GitHub 发布 2018 年开源项目趋势预测
- 开源不是“免费的午餐”,行业新变化背后有哪些趋势值得关注?
- 从开源战争到云收购,2019年将出现6大趋势
- 网易云副总经理陈谔:数字化转型过程中 开源是趋势
- 香!一款用 SQL 方式查询 Git 仓库的开源项目进入 GitHub 趋势榜
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
编程珠玑(续)(修订版)
【美】Jon Bentley 乔恩•本特利 / 钱丽艳、刘田 / 人民邮电出版社 / 2015-2 / CNY 35.00
历史上最伟大的计算机科学著作之一 融深邃思想、实战技术与趣味轶事于一炉的奇书 带你真正领略计算机科学之美 多年以来,当程序员们推选出最心爱的计算机图书时,《编程珠玑》总是位于前列。正如自然界里珍珠出自细沙对牡蛎的磨砺,计算机科学大师Jon Bentley以其独有的洞察力和创造力,从磨砺程序员的实际问题中凝结出一篇篇不朽的编程“珠玑”,成为世界计算机界名刊《ACM通讯》历史上最受欢......一起来看看 《编程珠玑(续)(修订版)》 这本书的介绍吧!