发表于

新加坡,@mcgallen#microwire信息,8年2019月XNUMX日– Synopsys,Inc。 (纳斯达克股票代码:SNPS)今天发布了 2019年开源安全性和风险分析(OSSRA)报告。 该报告由 新思网络安全研究中心 (CyRC)检查了由黑鸭审计服务团队进行的1,200多次商业应用程序和库审计的结果。 该报告重点介绍了开放源代码使用的趋势和模式,以及不安全的开放源代码组件和许可证冲突的普遍性。

如该报告所示,在过去几年中,向组织提出风险管理挑战的许多开源使用趋势一直持续到今天。 但是,数据还表明已经达到了拐点,许多组织可能提高了管理开放源代码风险的能力,这可能是由于人们对商业软件组成分析解决方案的意识增强和成熟所致。

“开源在现代软件开发和部署中扮演着越来越重要的角色,但是要实现其价值,组织需要从安全和许可证合规性的角度理解和管理它如何影响其风险状况,”该公司首席安全策略师Tim Mackey说。 Synopsys网络安全研究中心。 “ 2019 OSSRA报告提供了商业应用程序中开源风险管理状态的一瞥。 它表明仍然存在重大挑战,大多数应用程序都包含开源安全漏洞和许可证冲突。 但它也强调了这些挑战可以解决,因为开源漏洞和许可证冲突的数量比上一年有所减少。”

2019 OSSRA报告中确定的一些最值得注意的开源风险趋势包括:

  • 开源采用已显着增加。 2018年审核的代码库中有298%包含开源组件,每个代码库平均有257个开源组件,而2017年为XNUMX个。
  • 开源许可证冲突可能会使知识产权面临风险。 38%的代码库包含某种形式的开源许可证冲突,而XNUMX%的代码库包含没有可识别许可证的开源组件。
  • 通常使用“废弃”的组件。 XNUMX%的代码库包含的组件已过期超过四年,或者在过去两年中没有任何开发。 如果某个组件处于非活动状态,并且没有人对其进行维护,则意味着没有人在解决其潜在漏洞。
  • 许多组织无法修补或更新其开源组件。 在2018年“黑鸭”审计中确定的漏洞平均年龄为6.6岁,略高于2017年-建议的补救工作并未显着改善。 2018年扫描的代码库中有10%的漏洞存在16,500年以上。 以国家漏洞数据库为背景,在2018年增加了XNUMX个新漏洞的情况下,其明确的补丁程序需要扩展以适应不断增加的披露。
  • 并非所有漏洞都是一样创建的,但是许多组织甚至都没有解决最危险的漏洞。 超过40%的代码库包含至少一个高风险的开源漏洞。

该报告指出,开源软件的使用本身并不是问题,实际上对软件创新至关重要。 但是,无法主动识别和管理与使用开源组件相关的任何安全和许可风险可能会造成很大的破坏。 尽管确定了风险因素,但2019年OSSRA数据表明,随着Equifax漏洞的发生,对开源风险的意识增强以及商业软件组成分析解决方案的成熟已导致向前发展:

  • 组织在管理开源安全漏洞方面越来越好。 2018年审核的代码库中有78%至少包含一个漏洞-仍然很严重,但比2017年的XNUMX%的数字好得多。
  • 总体而言,开源许可证合规性也有所提高。 2018年经审核的代码库中有74%包含具有许可证冲突的组件,而2017年为XNUMX%。

要了解更多信息,请下载 2019 OSSRA报告.

关于Synopsys软件完整性平台 
Synopsys软件完整性小组可帮助组织构建安全,高质量的软件,在最大程度提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 http://www.synopsys.com/software.

关于Synopsys
Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###