发表于

编者简介:开源软件(OSS),无论是最终形式,还是作为组成软件或应用程序一部分的组件,都越来越受欢迎。 模块化代码是必经之路,还有什么比找到存储库并查找可直接插入自己的自定义软件的软件片段或模块更简单的方法呢? 节省时间和金钱,对吗? 但是,便利通常是网络安全的祸根。 正如Synopsys所发现的那样,91%的商业应用程序包含过时甚至废弃的OSS组件,这些组件可能会导致严重的网络安全风险和漏洞,其中有些甚至是无法弥补的。 如果找不到替代品,则可能需要从头开始编写新代码以替换此类废弃软件,但需要支付额外费用。 供应商的新闻发布如下。

Synopsys研究表明,百分之九十一的商业应用程序包含过时或废弃的开源组件 

对超过1,250个商业代码库的分析发现,开源安全性,许可证合规性和操作风险仍然很普遍

新加坡,@mcgallen#microwire资讯,13年2020月XNUMX日 Synopsys,Inc。 (纳斯达克: SNPS)今天发布了 2020年开源安全性和风险分析(OSSRA)报告。 该报告由 新思网络安全研究中心 (CyRC)检查了由黑鸭审计服务团队进行的1,250多次商业代码库审计的结果。 该报告重点介绍了商业应用程序中开源使用的趋势和模式,并提供了见解和建议,以帮助组织从安全性,许可证合规性和运营角度更好地管理开源风险。

2020 OSSRA报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中经过审核的所有有效代码库(99%)至少包含一个开源组件,其中开源包含70%的代码。总体。 更值得注意的是,老化或废弃的开源组件的继续广泛使用,其中91%的代码库包含的组件已经过时四年以上,或者在过去两年中没有开发活动。

在今年的分析中,最令人担忧的趋势是不受管理的开放源代码带来的不断增加的安全风险,经过审计的代码库中有75%包含具有已知安全漏洞的开放源代码组件,高于上一年的60%。 同样,将近一半(49%)的代码库包含 高风险 漏洞,而40个月前只有12%。

Synopsys首席安全策略师Tim Mackey表示:“很难消除开源软件在现代软件开发和部署中的重要作用,但是很容易从安全和许可证合规的角度忽略开源软件如何影响您的应用程序风险态势。”网络安全研究中心。 “ 2020 OSSRA报告强调了组织如何继续努力有效地跟踪和管理其开源风险。 维护准确的第三方软件组件清单,包括开源依赖关系,并使其保持最新状态,是从多个层面解决应用程序风险的关键起点。”

2020 OSSRA报告中确定的最值得关注的开源风险趋势总结如下:

  • 开源的采用率继续飙升。 445%的代码库至少包含一些开源,每个代码库平均包含298个开源组件,比2018年的60个有了显着增加。经过审核的代码中有2018%被确定为开源,这个数字从2015个增加占36年的百分比,自XNUMX年以来几乎翻了一番(XNUMX%)。
  • 过时且“废弃”的开源组件无处不在。 XNUMX%的代码库包含的组件或者已经过时四年以上,或者在过去两年中没有开发活动。 除了存在安全漏洞的可能性增加之外,使用过时的开源组件的风险还在于更新它们还会带来不必要的功能或兼容性问题。
  • 易受攻击的开源组件的使用再次呈上升趋势。 2019年,包含易受攻击的开源组件的代码库所占比例从75年的78%下降至60%之后增至2017%。类似地,包含高风险漏洞的代码库所占比例从2018%跃升至49年的2019%幸运的是,40年审核的代码库都没有受到臭名昭著的Heartbleed错误或2018年困扰Equifax的Apache Struts漏洞的影响。
  • 开源许可证冲突继续使知识产权面临风险。 尽管开源软件享有“免费”的美誉,但开源软件与任何其他软件没有什么不同,因为其使用受许可证的约束。 33%的代码库包含某种形式的开源许可证冲突,而93%的代码库包含没有可识别许可证的开源组件。 许可证冲突的发生率因行业而异,从最高的59%(互联网和移动应用程序)到相对较低的XNUMX%(虚拟现实,游戏,娱乐,媒体)不等。

要了解更多信息,请下载 2020 OSSRA报告.

20200513_snps_ossra_2020_infogrp
Synopsys开源安全性和风险分析报告(OSSRA)2020 –快照

关于Synopsys软件完整性小组
Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys
Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###