歡迎您光臨本站 註冊首頁

新思科技發布 OSSRA 報告 分析開源應用趨勢和模式

←手機掃碼閱讀     admin @ 2019-05-29 , reply:0

很多軟體都是建立在可重用的開源組件的基礎之上 。但是使用開源的人員經常忽視相關的安全和許可風險。軟體開發人員通常會從開源存儲庫中獲取代碼,以嵌入其公司的產品中,加快開發過程。雖然代碼重用的效率提高和成本節省很明顯,但企業很少定期檢查開源代碼以查找潛在的安全性和法律問題。很少有公司管理他們的開發人員使用開源。因此,他們仍未了解其開源風險和義務。

新思科技發布OSSRA報告 分析開源應用趨勢和模式

美國新思科技公司 (Synopsys, Nasdaq: SNPS)近日發布了《2019年開源安全和風險分析》(OSSRA)報告。該報告由新思科技網路安全研究中心(CyRC)製作,審查了由黑鴨審計服務團隊執行的超過1,200個商業應用程序和庫的審計結果。報告重點介紹了開源應用的趨勢和模式,以及不安全的開源組件和許可證衝突的普遍性。

報告顯示,現在企業面臨著開源應用風險管理的挑戰,這些難題在過去幾年就已經有苗頭了。然而,數據還表明現在已經達到了一個拐點,由於風險意識和商業軟體組件分析解決方案成熟度的提高,許多企業提升了其管理開源風險的能力。

新思科技網路安全研究中心首席安全策略師Tim Mackey 表示:「開源在現代軟體開發和部署中發揮著越來越重要的作用,但要實現其價值,企業需要從安全性和許可證合規的角度來理解和管理它如何影響其風險態勢。2019年OSSRA報告提供了商業應用程序中開源風險管理的狀況概覽。報告表明現在仍然存在重大挑戰,絕大多數的應用程序包含開源安全漏洞和許可證衝突,但同時也強調這些挑戰是可以解決的,因為開源漏洞和許可證衝突的數量與去年相比有所下降。」

新思科技發布OSSRA報告 分析開源應用趨勢和模式

2019年OSSRA報告中最值得注意的開源風險趨勢包括:

· 開源採用率大幅提升。2018年審計的代碼庫中96%包含開源組件,每個代碼庫中平均有298個開源組件,2017年則為257個。

· 開源許可證衝突可能會使知識產權面臨風險。68%的代碼庫包含某種形式的開源許可證衝突,38%的代碼庫包含沒有可識別許可證的開源組件。

· 「廢棄」組件的使用很常見。85%的代碼庫包含過去四年以上老式的組件或者過去兩年沒有開發的組件。如果一個組件處於非活躍狀態或者無人維護,也就意味著沒有人正在處理其潛在的漏洞。

· 許多組織未能修補或更新其開源組件。2018年黑鴨審計中確定的漏洞的平均年齡是6.6年,略高於2017年 。這表明補救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞資料庫(National Vulnerability Database)顯示2018年增加了16,500個新漏洞,其明確的修補流程需要擴展以適應增加的披露的漏洞。

· 並非所有的漏洞都相同,但許多企業甚至沒有解決那些風險最高的漏洞。超過40%的代碼庫包含至少一個高風險開源漏洞。

新思科技發布OSSRA報告 分析開源應用趨勢和模式

報告顯示開源軟體的使用本身並不是問題,實際上這對軟體創新至關重要。但是未能積極主動地鑒別和管理任何與開源組件使用有關的安全和許可證風險,可能極具破壞性。雖然風險因素仍然存在,2019年OSSRA報告數據表明,在Equifax數據泄露之後,開源風險意識的提高和商業軟體組件分析解決方案的成熟度已經取得了進展:

· 企業在管理開源安全漏洞方面正漸入佳境。2018年審計的代碼庫中有60%包含至少一個漏洞,相比2017年的78%已經改善不少。

· 總體而言,開源許可證合規性也得到了改善。2018年審計的代碼庫中有68%包含有許可證衝突的組件,2017年則為74%。

文章來源:安全牛


[admin ]

來源:OsChina
連結:https://www.oschina.net/news/107039/ossra-report-2019
新思科技發布 OSSRA 報告 分析開源應用趨勢和模式已經有242次圍觀

http://coctec.com/news/all/show-post-205925.html