發佈於

新加坡,@mcgallen#microwire信息,8年2019月XNUMX日– 新思科技有限公司。 (納斯達克股票代碼:SNPS)今天發布了 2019年開源安全與風險分析(OSSRA)報告。 該報告由 新思網絡安全研究中心 (CyRC)檢查了由黑鴨審計服務團隊進行的1,200多次商業應用程序和庫審計的結果。 The report highlights trends and patterns in open source use, as well as the prevalence of both insecure open source components and license conflicts.該報告重點介紹了開放源代碼使用的趨勢和模式,以及不安全的開放源代碼組件和許可證衝突的普遍性。

As shown in the report, many of the trends in open source use that have presented risk management challenges to organizations in previous years persist today.如該報告所示,在過去幾年中,對組織提出了風險管理挑戰的許多開源使用趨勢一直持續到今天。 However, the data also suggest that an inflection point has been reached, with many organizations improving their ability to manage open source risk, possibly due to heightened awareness and the maturation of commercial software composition analysis solutions.但是,數據還表明,拐點已經到來,許多組織都在提高其管理開源風險的能力,這可能是由於人們對商業軟件組成分析解決方案的意識增強和日趨成熟。

“開源在現代軟件開發和部署中扮演著越來越重要的角色,但是要實現其價值,組織需要從安全和許可證合規性的角度理解和管理它如何影響其風險狀況,”首席安全策略師Tim Mackey說。 Synopsys網絡安全研究中心。 “ 2019 OSSRA報告提供了商業應用程序中開源風險管理狀態的一瞥。 It shows that there are still significant challenges, with the majority of applications containing open source security vulnerabilities and license conflicts.它表明仍然存在重大挑戰,大多數應用程序都包含開源安全漏洞和許可證衝突。 But it also highlights that these challenges can be addressed, as the number open source vulnerabilities and license conflicts have declined from the previous year.”但是它也強調了這些挑戰可以解決,因為開源漏洞和許可證衝突的數量比上一年有所減少。”

2019 OSSRA報告中確定的一些最值得注意的開源風險趨勢包括:

  • 開源採用已顯著增加。 2018年審核的代碼庫中有298%包含開源組件,每個代碼庫平均有257個開源組件,而2017年為XNUMX個。
  • 開源許可證衝突可能會使知識產權面臨風險。 38%的代碼庫包含某種形式的開放源代碼許可證衝突,而XNUMX%的代碼庫包含沒有可識別許可證的開放源代碼組件。
  • 通常使用“廢棄”的組件。 XNUMX%的代碼庫包含的組件已過期超過四年,或者在過去兩年中沒有任何開發。 If a component is inactive and no one is maintaining it, that means no one is addressing its potential vulnerabilities.如果某個組件處於非活動狀態,並且沒有人對其進行維護,則意味著沒有人在解決其潛在漏洞。
  • 許多組織無法修補或更新其開源組件。 2018年掃描的代碼庫中有6.6%的漏洞存在2017年以上。 When viewed against the backdrop of the National Vulnerability Database adding over 2018 new vulnerabilities in 10, its clear patch processes need to scale to accommodate increased disclosures.以國家漏洞數據庫為背景,在16,500年增加了2018個新漏洞的背景下,其清晰的補丁程序需要擴展以適應不斷增加的披露。
  • 並非所有漏洞都是一樣創建的,但許多組織甚至都沒有解決最危險的漏洞。 超過40%的代碼庫包含至少一個高風險的開源漏洞。

The report notes that the use of open source software is not a problem in and of itself, and is, in fact, essential to software innovation.該報告指出,使用開放源代碼軟件本身並不是問題,實際上對軟件創新至關重要。 But failing to proactively identify and manage any security and license risks associated with the usage of open source components can be very damaging.但是,無法主動識別和管理與使用開源組件相關的任何安全和許可風險可能會造成很大的破壞。 Despite the risk factors identified, the 2019 OSSRA data suggests that, in the wake of the Equifax breach, an increase in awareness of open source risk and the maturation of commercial software composition analysis solutions has led to forward progress:儘管發現了風險因素,但XNUMX年OSSRA數據表明,隨著Equifax漏洞的發生,對開源風險的意識增強以及商業軟件組成分析解決方案的成熟已帶來了前進的進步:

  • 組織在管理開源安全漏洞方面越來越好。 2018年審核的代碼庫中有78%至少包含一個漏洞-仍然很嚴重,但比2017年的XNUMX%的數字好得多。
  • 總體而言,開源許可證合規性也有所提高。 2018年經審核的代碼庫中有74%包含具有許可證衝突的組件,而2017年為XNUMX%。

要了解更多信息,請下載 2019 OSSRA報告.

關於Synopsys軟件完整性平台 
Synopsys軟件完整性小組可幫助組織構建安全的高質量軟件,在最大程度地提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 With a combination of industry-leading tools, services, and expertise, only Synopsys helps organizations optimize security and quality in DevSecOps and throughout the software development life cycle.借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 Learn more at了解更多 http://www.synopsys.com/software.

關於新思科技
Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###