Synopsys 公司釋出了 2020 年開源安全和風險分析(OSSRA)報告,該報告由 Synopsys 網路安全研究中心(CyRC)製作,研究了由黑鴨審計服務團隊進行的 1,250 多次商業程式碼庫審計的結果。
重點介紹了商業應用程式中開源使用的趨勢和模式,並提供了見解和建議,以幫助組織從安全性,許可證合規性和運營角度更好地管理開源風險。
該報告重申了開源在當今軟體生態系統中的關鍵作用,揭示了過去一年中幾乎所有(99%)的經稽核程式碼庫均至少包含一個開源元件,其中開原始碼佔總體程式碼的70%。然而更值得注意的是,老化或廢棄的開源元件的繼續廣泛使用,其中 91% 的程式碼庫包含的元件已經過時四年以上,或者在過去兩年中沒有開發活動。
此外,更令人擔憂的則是不受管理的開放原始碼帶來的日益嚴重的安全風險的趨勢。經過審計的程式碼庫中有 75% 包含具有已知安全漏洞的開源元件;同時,幾乎一半(49%)的程式碼庫包含高風險漏洞;兩者比例都實現了同比增長。
Synopsys 網路安全研究中心首席安全策略師 Tim Mackey 表示:“很難否認開源軟體在現代軟體開發和部署中扮演的重要角色,但是很容易從安全和許可證合規性的角度忽略開源軟體如何影響您的應用程式風險態勢。”2020 OSSRA 報告強調了組織如何繼續努力有效地跟蹤和管理其開源風險。 維護包括開放原始碼依賴項在內的第三方軟體元件的準確清單,並使其保持最新狀態,是從多個層面解決應用程式風險的關鍵起點。”
2020 OSSRA 報告中一些值得關注的開源風險趨勢總結如下:
- 開源的採用率繼續飆升。99% 的程式碼庫至少包含一些開源,每個程式碼庫平均有 445 個開源元件,比 2018 年的 298 個有了顯著增加。經過稽核的程式碼中有 70 % 被確定為開源,這一數字從 2018 年的 60% 增長到 2015 年(36%)以來的近兩倍。
- 過時的和“廢棄的”開源元件無處不在。 91% 的程式碼庫包含的元件或者已經過時四年以上,或者在過去兩年中沒有開發活動。除了存在安全漏洞的可能性增加之外,使用過時的開源元件的風險還在於更新它們還會帶來不必要的功能或相容性問題。
- 易受攻擊的開源元件的使用再次呈上升趨勢。在 2017 年至 2018 年期間,包含易受攻擊的開源元件的程式碼庫所佔比例從 78% 下降至 60% 之後,在 2019 年上升至 75%。同樣,包含高風險漏洞的程式碼庫的百分比從 2018 年的 40% 上升到 2019 年的 49%。幸運的是,2019 年稽核的程式碼庫均未受到臭名昭著的 Heartbleed 錯誤或 2017 年困擾 Equifax 的 Apache Struts 漏洞的影響。
- 開源許可證衝突繼續使智慧財產權面臨風險。 68% 的程式碼庫包含某種形式的開放原始碼許可證衝突,而 33% 的程式碼庫包含沒有可識別許可證的開放原始碼元件。許可證衝突的發生率因行業而異,從最高的 93%(網際網路和移動應用程式)到相對較低的 59%(虛擬現實、遊戲、娛樂、媒體)不等。
自 開源中國