發佈於

Editor's brief: Open source software (OSS), whether in finished form, or as components to form part of a software or app, are becoming increasingly popular.編者簡介:開源軟件(OSS),無論是最終形式,還是作為組成軟件或應用程序一部分的組件,都越來越受歡迎。 Modular code is the way to go, and what easier way then to scour repositories and look for software fragments or modules that you can simply plug into your own custom software?模塊化代碼是必經之路,還有什麼比找到存儲庫並尋找可直接插入自己的自定義軟件的軟件片段或模塊更簡單的方法呢? Saves time and money, right?節省時間和金錢,對嗎? However, convenience is often the bane of cybersecurity.但是,便利通常是網絡安全的禍根。 As Synopsys found out, 91% of commercial apps contain outdated or even abandoned OSS components, which can cause serious cybersecurity risks and vulnerabilities, some of which may even be irreparable.正如Synopsys所發現的那樣,XNUMX%的商業應用程序包含過時甚至廢棄的OSS組件,這些組件可能會導致嚴重的網絡安全風險和漏洞,其中有些甚至是無法彌補的。 New code may need to be written from scratch to replace such abandonware if no alternatives are found, at additional costs.如果找不到替代品,則可能需要從頭開始編寫新代碼來替換此類廢棄軟件,但需要支付額外費用。 The vendor's news release is found below.可以在下面找到供應商的新聞稿。

Synopsys研究表明,百分之九十一的商業應用程序包含過時或廢棄的開源組件 

對超過1,250個商業代碼庫的分析發現,開源安全性,許可證合規性和操作風險仍然很普遍

新加坡,@mcgallen#microwire資訊,13年2020月XNUMX日 - 新思科技有限公司。 (納斯達克: SNPS)今天發布了 2020年開源安全與風險分析(OSSRA)報告。 該報告由 新思網絡安全研究中心 (CyRC)檢查了由黑鴨審計服務團隊進行的1,250多次商業代碼庫審計的結果。 該報告重點介紹了商業應用程序中開源使用的趨勢和模式,並提供了見解和建議,以幫助組織從安全性,許可證合規性和運營角度更好地管理開源風險。

2020 OSSRA報告重申了開源在當今軟件生態系統中的關鍵作用,揭示了過去一年中經過審核的所有有效代碼庫(99%)至少包含一個開源組件,其中開源包含70%的代碼。總體。 更值得注意的是老化或廢棄的開源組件的繼續廣泛使用,其中91%的代碼庫包含的組件已經過時四年以上,或者在過去兩年中沒有開發活動。

在今年的分析中,最令人擔憂的趨勢是不受管理的開放源代碼帶來的不斷增加的安全風險,經過審計的代碼庫中有75%包含具有已知安全漏洞的開放源代碼組件,高於上一年的60%。 同樣,將近一半(49%)的代碼庫包含 高風險 漏洞,而40個月前只有12%。

Synopsys首席安全策略師Tim Mackey表示:“很難消除開源軟件在現代軟件開發和部署中的重要作用,但是很容易從安全和許可證合規性的角度忽略開放源代碼如何影響您的應用程序風險態勢。”網絡安全研究中心。 “ 2020 OSSRA報告強調了組織如何繼續努力有效地跟踪和管理其開源風險。 維護準確的第三方軟件組件清單,包括開源依賴關係,並使其保持最新狀態,是從多個層面解決應用程序風險的關鍵起點。”

2020 OSSRA報告中確定的最值得關注的開源風險趨勢總結如下:

  • 開源的採用率繼續飆升。 百分之九十九的代碼庫至少包含一些開源,每個代碼庫平均有445個開源組件,比298年的2018個有了顯著增加。經過審核的代碼中有百分之七十被確定為開源,這個數字從60個增加到2018%。佔2015年的百分比,自36年以來幾乎翻了一番(XNUMX%)。
  • 過時的和“被遺棄的”開源組件無處不在。 XNUMX%的代碼庫包含的組件或者已經過時四年以上,或者在過去兩年中沒有開發活動。 除了存在安全漏洞的可能性增加之外,使用過時的開源組件的風險還在於更新它們還會帶來不必要的功能或兼容性問題。
  • 易受攻擊的開源組件的使用再次呈上升趨勢。 在包含易受攻擊的開源組件的代碼庫所佔比例從2019年的75%降至78%之後,到60年,該比例上升到2017%。同樣,包含高風險漏洞的代碼庫所佔比例從2018%躍升至49年的2019%幸運的是,40年審核的代碼庫都沒有受到臭名昭著的Heartbleed錯誤或2018年困擾Equifax的Apache Struts漏洞的影響。
  • 開源許可證衝突繼續使知識產權面臨風險。 儘管開源軟件享有“免費”的美譽,但開源軟件與任何其他軟件沒有什麼不同,因為其使用受許可證的約束。 33%的代碼庫包含某種形式的開源許可證衝突,而93%的代碼庫包含沒有可識別許可證的開源組件。 許可證衝突的發生率因行業而異,從最高的59%(互聯網和移動應用程序)到相對較低的XNUMX%(虛擬現實,遊戲,娛樂,媒體)不等。

要了解更多信息,請下載 2020 OSSRA報告.

20200513_snps_ossra_2020_infogrp
Synopsys開源安全性和風險分析報告(OSSRA)2020 –快照

關於Synopsys軟件完整性小組
Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技
Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###