發佈於

編者簡介:開源軟件(OSS)不僅是免費使用的軟件,而且是世界上自願的編碼人員和審計人員所做的大量工作,為任何人提供了良好的軟件和代碼組件。 根據Synopsys網絡安全研究中心(CyRC)最新發布的2021年OSSRA(開源安全和風險分析)報告,許多行業廣泛而深入地採用OSS,包括martech,醫療保健,金融服務,金融科技,零售和電子商務。 那麼,採用OSS會帶來什麼風險? 供應商的版本如下。

Synopsys研究表明,商業軟件中的易受攻擊,過時和被遺棄的開源組件呈上升趨勢 

通過對1,500多種商業代碼庫進行分析,發現每個行業都普遍存在開源安全性,許可證合規性和維護問題。

新加坡,@mcgallen#microwire資訊,14年2021月XNUMX日 - 新思科技有限公司。 (納斯達克: SNPS)今天發布了 2021開源安全和風險分析(OSSRA) 報告。 該報告由 新思網絡安全研究中心 (CyRC)檢查BlackDuck®審核服務團隊執行的1,500多次商業代碼庫審核的結果。 該報告重點介紹了商業應用程序中開放源代碼使用的趨勢,並提供了一些見解,以幫助商業和開放源代碼開發人員更好地了解它們所包含的互連軟件生態系統。 它還詳細介紹了不受管理的開放源代碼所帶來的普遍風險,包括安全漏洞,過期或廢棄的組件以及許可證合規性問題。

2021 OSSRA報告肯定了開源軟件為所有行業中絕大多數應用程序奠定了基礎。 它還表明,這些行業在不同程度上都在努力管理開源風險。

  • 在營銷技術行業部門進行審核的公司中,有100%的代碼庫中包含開源,其中包括銷售線索生成CRM和社交媒體。 95%的營銷技術代碼庫包含開源漏洞。
  • 98%的醫療保健部門代碼庫包含開源。 這些代碼庫中有67%包含漏洞。
  • 97%的金融服務/金融科技部門代碼庫包含開源。 這些代碼庫中超過60%包含漏洞。
  • 零售和電子商務部門中92%的代碼庫包含開源,而該部門中71%的代碼庫包含漏洞。

更令人擔憂的是廢棄開源組件的廣泛使用。 令人震驚的91%的代碼庫包含開源依賴關係,這些依賴關係在過去兩年中沒有開發活動-意味著沒有代碼改進也沒有安全修復。

Synopsys網絡安全研究中心首席安全策略師Tim Mackey說:“過去兩年中90%以上的代碼庫使用的是開放源代碼,沒有開發活動,這不足為奇。” “與商業軟件不同,供應商可以將信息推送給用戶,而開源軟件則需要社區參與才能蓬勃發展。 如果在沒有這種參與的情況下將開源組件用於商業產品,則項目活力很容易減弱。 孤立的項目不是一個新問題,但是一旦發生,解決安全問題就變得困難得多。 該解決方案很簡單–投資支持您所依賴的成功項目。”

2021 OSSRA報告中確定的其他開源風險趨勢包括:

  • 商業軟件中過時的開源組件是常態。 85%的代碼庫包含的開源依賴項已過期四年以上。 與廢棄的項目不同,這些過時的開源組件具有活躍的開發人員社區,這些社區發布的更新和安全補丁未被下游商業消費者使用。 除了忽略應用補丁程序會帶來明顯的安全隱患外,使用過時的開源組件還可能帶來與未來更新相關的功能和兼容性問題,從而增加了繁瑣的技術負擔。
  • 開源漏洞的流行趨勢朝著錯誤的方向發展。 到2020年,包含易受攻擊的開源組件的代碼庫的百分比升至84%,比9年增加了2019%。類似地,包含高風險漏洞的代碼庫的百分比也從49%躍升至60%。 在10年的代碼庫中發現的十大開源漏洞中,有幾個漏洞在2019年的審計中再次出現,所有漏洞的百分比均顯著增加。
  • 超過90%的經過審核的代碼庫包含帶有許可證衝突,自定義許可證或根本沒有許可證的開源組件。 65年審核的代碼庫中有2020%包含開源軟件許可證衝突,通常涉及GNU通用公共許可證。 26%的代碼庫使用的是沒有許可證或自定義許可證的開源代碼。 通常需要對這三個問題進行評估,以評估潛在的知識產權侵權和其他法律問題,尤其是在合併和收購交易的情況下。

要了解有關與開源軟件相關的潛在風險以及如何解決這些風險的更多信息,請下載以下版本的副本: 2021 OSSRA報告, 閱讀 博客文章,或註冊21月XNUMX日 網絡研討會.

關於Synopsys軟件完整性小組

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 Synopsys.com/software.

關於新思科技

Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 Synopsys.com.

###