首页|首页 >> 技术 >> 正文

新思科技发布《2021年开源安全和风险分析》报告

2021年4月28日 17:05  CCTIME飞象网  

通过对超过1,500个商业代码库进行分析,

发现开源安全、许可证合规性和维护问题依然很普遍

飞象网讯 相比闭源的软件,开源的优势显而易见,但是对开源风险的关注却远远不够。无论是政府机构还是相关企业都在积极推动开源治理。比如,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院于2020年正式发布了业内首个《开源生态白皮书(2020)》。新思科技为该白皮书的发布做出了积极的贡献,集合Black Duck的深厚的行业经验和深度的积累,为开源项目提供深度的探测组件能力,推动行业和用户意识到开源组件依赖的合规和安全风险远比想象的要高。

新思科技  (Synopsys, Nasdaq: SNPS)近日发布了《2021年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck®审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势,并且提供了见解,以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。这份报告也详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

2021年 OSSRA报告强调,开源是所有行业绝大多数应用程序的基础;但同时,他们也在费尽心思去管理开源风险。

· 所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。

· 98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞。

· 97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。

· 92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。

更令人担忧的是废弃开源组件仍在被广泛使用。高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“超过90%的代码库使用了在过去两年没有发生任何开发活动的开源组件,这不足为奇。与供应商能直接将信息推送给用户的商业软件不同,开源更需要社区参与才能蓬勃发展。如果没有社区参与,企业就将开源组件用于商业软件,项目活力很容易减弱。废弃项目不是新问题,但是当它们出现时,解决安全问题变得更加困难。解决方案很简单,投资那些利于业务成功的项目。” 

2021年OSSRA报告中提及的其它开源风险包括:

 商业软件中过时的开源组件已成常态。85% 的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同,这些过时的开源组件拥有活跃的开发人员,但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全隐患之外,使用过时的开源组件还可能带来技术上的麻烦,包括与将来更新相关的功能问题和兼容性问题。

 开源漏洞趋势朝着错误的方向发展。2020年,包含存在漏洞的开源组件的代码库百分比为84%,较2019年上涨了9%。同样,包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。

 超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。2020年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险,通常需要进行评估,尤其涉及到合并和收购交易的时候。

点击下载申博官网003,了解更多关于开源软件潜在风险和解决方案的信息。 

编 辑:章芳
声明:刊载本文目的在于传播更多行业信息,本站只提供参考并不构成任何投资及应用建议。如网站内容涉及作品版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容。本站联系电话为86-010-87765777,邮件后缀为#cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
相关新闻              
 
人物
新华三副总裁毕首文:智能联接,加速数字化转型
精彩专题
专题报道丨2020年世界电信和信息社会日
专题报道丨山至高处人为峰,中国5G信号覆盖珠穆朗玛
专题报道丨助力武汉"战疫",共铸坚强后盾
2019年信息通信产业盘点暨颁奖礼
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 申博官网003
CCTIME飞象网 CopyRight © 2007-2021 By CCTIME.COM
申博官网003  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像
网站地图 12bet娱乐公司怎么样? 金宝博手机投注安全吗? 能介绍一下金宝博的优势嘛??
太阳城投注 澳门网上娱乐打牌 菲律宾申博太阳城网址 申博游戏亚洲星
最好的彩票平台有哪些直营网 王子游戏注册送18直营网 东方彩票 万达彩票北京PK拾
188金宝博注册有没有开什么新的赌场啊?老的话哪家的最好最安全? 188金宝博好玩吗?大家谁去玩了? bet365备用网址多吗?网址是多少? 大家都是在哪儿玩bet365游戏的啊?求个专业的平台。
有人在12bet玩么?优惠多么? bet365注册容易吗? 188bet金宝博怎么样?人多不? 188金宝博好玩吗?大家谁去玩了?
398psb.com 8WWS.COM 1111ib.com 538sj.com S6184.COM
858XTD.COM 729XTD.COM 718cw.com 1112938.COM 979sj.com
558jbs.com 4888tyc.com 918jbs.com 897XTD.COM 062xx.com
XSB6666.COM XSB158.COM DC593.COM XSB577.COM XSB887.COM