新思科技發(fā)布《2022年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告 強(qiáng)調(diào)了在軟件供應(yīng)鏈中管理開(kāi)源風(fēng)險(xiǎn)的核心挑戰(zhàn)

開(kāi)源是當(dāng)下社會(huì)所依賴的每一個(gè)應(yīng)用程序的基礎(chǔ)。識(shí)別、跟蹤和管理開(kāi)源代碼對(duì)于有效確保軟件安全至關(guān)重要。無(wú)論是開(kāi)發(fā)人員還是消費(fèi)者都應(yīng)該更好地了解開(kāi)源生態(tài)系統(tǒng)，并負(fù)責(zé)任地管理開(kāi)源，對(duì)其使用進(jìn)行妥善管理。

新思科技(Synopsys, Nasdaq: SNPS) 近日發(fā)布了《2022年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心 (CyRC) 編制，分析了由Black Duck?審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對(duì)2,400多項(xiàng)商業(yè)和專有代碼庫(kù)的并購(gòu)交易審計(jì)結(jié)果。該報(bào)告強(qiáng)調(diào)了在商業(yè)和專有應(yīng)用程序中使用開(kāi)源的趨勢(shì)，并提供了見(jiàn)解，以幫助開(kāi)發(fā)人員更好地了解他們所處的互聯(lián)軟件生態(tài)系統(tǒng)，同時(shí)還詳細(xì)地介紹了非托管開(kāi)源所帶來(lái)的安全隱患，包括安全漏洞、過(guò)期或廢棄的組件以及許可證合規(guī)性問(wèn)題。

2022年OSSRA報(bào)告強(qiáng)調(diào)，開(kāi)源組件在每個(gè)行業(yè)都被廣泛使用，并且是當(dāng)今所有應(yīng)用程序的構(gòu)建基礎(chǔ)。

? 使用過(guò)時(shí)的開(kāi)源組件仍然是常態(tài)。易受攻擊的Log4j版本也含有過(guò)時(shí)開(kāi)源組件。在Black Duck審計(jì)服務(wù)團(tuán)隊(duì)今年分析的2,409個(gè)代碼庫(kù)中，87%（即2,097）實(shí)施了安全與風(fēng)險(xiǎn)評(píng)估*。從運(yùn)營(yíng)風(fēng)險(xiǎn)/維護(hù)方面來(lái)看，在2,097個(gè)代碼庫(kù)中，85%的代碼庫(kù)中包含至少四年未更新的開(kāi)源代碼；88%的代碼庫(kù)中包含過(guò)時(shí)版本的組件；5%的代碼庫(kù)含有易受攻擊的Log4j版本。

? 經(jīng)過(guò)評(píng)估的代碼庫(kù)顯示，開(kāi)源漏洞數(shù)量總體減少。2,097個(gè)代碼庫(kù)經(jīng)過(guò)安全與運(yùn)營(yíng)風(fēng)險(xiǎn)評(píng)估，其中包含至少一個(gè)高風(fēng)險(xiǎn)開(kāi)源漏洞的代碼庫(kù)數(shù)量大幅減少。今年的被審代碼庫(kù)中只有49%包含至少一個(gè)高風(fēng)險(xiǎn)漏洞，2021年為60%。此外，81%包含至少一個(gè)已知的開(kāi)源漏洞，與 2021 年 OSSRA 的調(diào)查結(jié)果相比減少了 3%。

? 許可證沖突總體上也在減少。 超過(guò)一半(53%)的被審代碼庫(kù)存在許可證沖突，與 2020 年的 65% 相比大幅下降?？傮w而言，特定許可證沖突在 2020 年至 2021 年期間減少了。

?  30%的被審代碼庫(kù)中都包含無(wú)許可證或使用定制許可證的開(kāi)源代碼。如果未經(jīng)創(chuàng)作者/作者以授權(quán)許可證的形式明確允許，其他人則不能合法地使用、復(fù)制、分發(fā)或修改該軟件。沒(méi)有許可證的軟件可能意味著使用開(kāi)源組件帶來(lái)的法律風(fēng)險(xiǎn)。定制化的開(kāi)源代碼許可證可能會(huì)對(duì)被許可方提出非預(yù)期的要求，因此經(jīng)常需要對(duì)可能的知識(shí)產(chǎn)權(quán)IP問(wèn)題或其它影響進(jìn)行法律評(píng)估。

新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示：“使用軟件組成分析(SCA)工具的用戶已經(jīng)將重點(diǎn)放在減少開(kāi)源許可證沖突和解決高風(fēng)險(xiǎn)漏洞上。得益于此，我們今年可以看到許可證沖突問(wèn)題和高風(fēng)險(xiǎn)漏洞數(shù)量已經(jīng)減少。但是我們不能忽略，經(jīng)過(guò)審計(jì)的代碼庫(kù)中有超過(guò)一半仍然存在許可證沖突，近一半包含高風(fēng)險(xiǎn)漏洞。更令人不安的是，88%被審代碼庫(kù)中包含過(guò)時(shí)版本的開(kāi)源組件。而且往往這些組件有可用的更新版本或補(bǔ)丁，但沒(méi)有被采用?！?/p>

Tim Mackey指出：“沒(méi)有將軟件升級(jí)到最新版本的理由有很多。但是，如果企業(yè)沒(méi)有一份清單，準(zhǔn)確列明其在代碼使用的開(kāi)源組件，那過(guò)時(shí)的組件可能就會(huì)被遺忘；直到變成一個(gè)易受攻擊的高風(fēng)險(xiǎn)漏洞，企業(yè)才慌忙查找這個(gè)組件用在哪里，然后去進(jìn)行更新。這正是Log4j面臨的情況。這也是軟件供應(yīng)鏈和軟件物料清單(software Bill of Materials, SBOM)成為當(dāng)下行業(yè)熱點(diǎn)的原因?！?/p>

下載2022年OSSRA報(bào)告。

*在2022年的OSSRA報(bào)告中，“開(kāi)源漏洞與安全”以及“開(kāi)源維護(hù)”部分的數(shù)據(jù)基于包含風(fēng)險(xiǎn)評(píng)估的 2,097個(gè)代碼庫(kù)，而“許可證”部分的數(shù)據(jù)則基于全部的2,409個(gè)代碼庫(kù)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。