发表于

编者简介:开源软件(OSS)不仅是免费使用的软件,而且是世界上自愿的编码人员和审计人员所做的大量工作,为任何人提供了良好的软件和代码组件。 根据Synopsys网络安全研究中心(CyRC)最新发布的2021年OSSRA(开源安全和风险分析)报告,许多行业广泛而深入地采用OSS,包括martech,医疗保健,金融服务,金融科技,零售和电子商务。 那么,采用OSS会带来什么风险? 供应商的版本如下。

Synopsys研究表明,商业软件中的易受攻击,过时和被遗弃的开源组件呈上升趋势 

对超过1,500个商业代码库的分析发现,开源安全性,许可证合规性和维护问题在每个行业中无处不在

新加坡,@mcgallen#microwire信息,14年2021月XNUMX日 Synopsys,Inc。 (纳斯达克: SNPS)今天发布了 2021开源安全和风险分析(OSSRA) 报告。 该报告由 新思网络安全研究中心 (CyRC)检查BlackDuck®审核服务团队执行的1,500多次商业代码库审核的结果。 该报告重点介绍了商业应用程序中开放源代码使用的趋势,并提供了一些见解,以帮助商业和开放源代码开发人员更好地了解它们所包含的互连软件生态系统。 它还详细介绍了不受管理的开放源代码带来的普遍风险,包括安全漏洞,过时或废弃的组件以及许可证合规性问题。

2021 OSSRA报告肯定了开源软件为所有行业中绝大多数应用程序奠定了基础。 它还表明,这些行业在不同程度上都在努力管理开源风险。

  • 在营销技术行业部门中接受审核的公司100%(包括潜在客户生成CRM和社交媒体)在其代码库中包含开源。 95%的营销技术代码库包含开源漏洞。
  • 98%的医疗保健部门代码库包含开源。 这些代码库中有67%包含漏洞。
  • 97%的金融服务/金融科技部门代码库包含开源。 这些代码库中超过60%包含漏洞。
  • 零售和电子商务部门中92%的代码库包含开源,而该部门中71%的代码库包含漏洞。

更令人担忧的是废弃开源组件的广泛使用。 令人震惊的91%的代码库包含开源依赖关系,这些依赖关系在过去两年中没有开发活动-意味着没有代码改进也没有安全修复。

Synopsys网络安全研究中心首席安全策略师Tim Mackey说:“在过去两年中,超过90%的代码库使用的是开放源代码,没有开发活动,这不足为奇。” “与商业软件不同,供应商可以将信息推送给用户,而开源软件则需要社区参与才能蓬勃发展。 如果在没有这种参与的情况下将开源组件用于商业产品,则项目活力很容易减弱。 孤立的项目不是一个新问题,但是一旦发生,解决安全问题就变得困难得多。 解决方案很简单–投资支持您所依赖的成功项目。”

2021 OSSRA报告中确定的其他开源风险趋势包括:

  • 商业软件中过时的开源组件是常态。 85%的代码库包含的开源依赖项已过期四年以上。 与废弃的项目不同,这些过时的开源组件具有活跃的开发人员社区,这些社区发布的更新和安全补丁未被下游商业消费者使用。 除了忽略应用补丁程序会带来明显的安全隐患之外,使用过时的开源组件还可能带来功能上的麻烦,其形式包括与将来更新相关的功能和兼容性问题。
  • 开源漏洞的流行趋势朝着错误的方向发展。 到2020年,包含易受攻击的开源组件的代码库的百分比升至84%,比9年增加了2019%。类似地,包含高风险漏洞的代码库的百分比也从49%跃升至60%。 在10年的审核中再次出现了2019年在代码库中发现的十大开源漏洞中的几个漏洞,所有漏洞的百分比均显着增加。
  • 超过90%的经过审核的代码库包含带有许可证冲突,自定义许可证或根本没有许可证的开源组件。 65年审核的代码库中有2020%包含开源软件许可证冲突,通常涉及GNU通用公共许可证。 26%的代码库使用的是没有许可证或自定义许可证的开源代码。 通常需要对这三个问题进行评估,以评估潜在的知识产权侵权和其他法律问题,尤其是在合并和收购交易的情况下。

要了解有关与开源软件相关的潜在风险以及如何解决这些风险的更多信息,请下载以下版本的副本: 2021 OSSRA报告, 阅读 博客文章,或注册21月XNUMX日 网络研讨会.

关于Synopsys软件完整性小组

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 Synopsys.com/software.

关于Synopsys

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 Synopsys.com.

###