新思科技發(fā)布《2023年開源安全和風(fēng)險分析》報告

——構(gòu)建全面的軟件物料清單是保衛(wèi)軟件供應(yīng)鏈安全的最佳防御

開源代碼已經(jīng)深深扎根在現(xiàn)代軟件開發(fā)之中,甚至代碼擁有者通常都不知道自己的軟件中包含開源組件。開源管理不到位,可能會給企業(yè)造成負(fù)面輿論,甚至導(dǎo)致經(jīng)濟(jì)損失。尤其在并購交易中,雙方務(wù)必要及早了解目標(biāo)代碼庫中的潛在開源風(fēng)險、安全漏洞和代碼質(zhì)量問題。盡管2022年經(jīng)濟(jì)走勢不明朗,科技領(lǐng)域的并購也相應(yīng)放緩,但經(jīng)過新思科技審計的代碼庫數(shù)量依然可觀。

新思科技(Synopsys, Nasdaq: SNPS) 近日發(fā)布了《2023年開源安全和風(fēng)險分析》報告(2023 OSSRA)。該報告是OSSRA的第八個版本,由新思科技網(wǎng)絡(luò)安全研究中心 (CyRC) 編制,分析了1,700 多項并購交易中涉及的商業(yè)和專有代碼庫的審計結(jié)果。該報告揭示了 17 個行業(yè)的開源使用趨勢。

OSSRA Report.png

2023 OSSRA報告深入探討了商業(yè)軟件中開源安全、合規(guī)、許可證和代碼質(zhì)量風(fēng)險的現(xiàn)狀,以幫助安全、法律、風(fēng)險和開發(fā)團(tuán)隊更好地把握開源安全和許可風(fēng)險形勢。今年的調(diào)查結(jié)果顯示,絕大多數(shù)代碼庫 (84%) 至少包含一個已知的開源漏洞,較2022年調(diào)查結(jié)果增加了近 4%。

企業(yè)想要降低來自開源、專有和商業(yè)代碼的業(yè)務(wù)風(fēng)險,首要就是構(gòu)建其使用的所有軟件的全面清單——軟件物料清單 (SBOM),無論這些軟件是來自何處或如何獲取。企業(yè)只有擁有了完整的清單,才能制定戰(zhàn)略以應(yīng)對Log4Shell 等新的安全漏洞帶來的風(fēng)險。

新思科技軟件質(zhì)量與安全部門總經(jīng)理 Jason Schmitt 表示:“2023 OSSRA 報告強調(diào)了開源是當(dāng)今絕大部分軟件構(gòu)建的基礎(chǔ)。在今年的審計中,開源組件的平均數(shù)量增加了 13%(從 528 增加到 595)。這個數(shù)據(jù)進(jìn)一步凸顯了實施全面的 SBOM 的重要性。SBOM列出了應(yīng)用中的所有開源組件及其許可證、版本、和補丁狀態(tài)。這是通過抵御軟件供應(yīng)鏈攻擊來理解和降低業(yè)務(wù)風(fēng)險的基本策略?!?/p>

2023 OSSRA 報告的主要發(fā)現(xiàn)包括:

· 根據(jù)過去五年OSSRA報告的數(shù)據(jù),開源采用率顯著提高:這幾年,教學(xué)更多地轉(zhuǎn)向線上,師生在線互動增多,進(jìn)而推動了教育軟件的應(yīng)用,開源組件的采用也大幅提升,增長了 163%;其它行業(yè)包括航空航天、汽車、運輸和物流行業(yè),開源的采用率激增了97%;制造業(yè)和機器人領(lǐng)域?qū)﹂_源的采用率增長了 74%。

· 過去五年,高風(fēng)險漏洞增加速度驚人:自 2019 年以來,零售和電子商務(wù)行業(yè)的高風(fēng)險漏洞激增了557%;物聯(lián)網(wǎng) (IoT) 領(lǐng)域,89%被審計的代碼是開源,同時,高風(fēng)險漏洞增加了 130%;同樣,航空航天、汽車、運輸和物流垂直領(lǐng)域的高風(fēng)險漏洞增加了 232%。

· 與使用許可組件的企業(yè)相比,使用沒有許可的開源組件會使企業(yè)面臨更大的違反版權(quán)法的風(fēng)險:報告發(fā)現(xiàn),31% 的代碼庫使用沒有可識別許可證或具有定制許可證的開源代碼。這比去年的 OSSRA 報告增加了 55%;缺少與開源代碼相關(guān)的許可證或其它開源許可證,可能會對被許可方提出非預(yù)期的要求,因此經(jīng)常需要對潛在知識產(chǎn)權(quán)問題或其它影響進(jìn)行法律評估。

· 可用的代碼質(zhì)量和安全補丁還未普遍應(yīng)用于代碼庫:在經(jīng)審計的1,480 個含風(fēng)險評估的代碼庫中,91% 的代碼庫包含過時的開源組件。除非企業(yè)能夠持續(xù)使用最新且準(zhǔn)確的 SBOM,否則過時的組件可能會被遺忘,直到演變成為易受到高風(fēng)險攻擊的組件。

新思科技軟件質(zhì)量與安全部門安全解決方案高級經(jīng)理 Mike McGuire 表示:“管理開源風(fēng)險的關(guān)鍵是保持應(yīng)用內(nèi)容的完整可見性?;诳梢娦裕瑢L(fēng)險管理構(gòu)建到應(yīng)用生命周期中。企業(yè)可以憑借必需的信息武裝自己,以便采取明智、及時的風(fēng)險解決方案。企業(yè)在采用任何類型的第三方軟件時都應(yīng)該正確地假設(shè)它包含了開源。而驗證這一點并控制相關(guān)風(fēng)險就像獲得 SBOM 一樣簡單——供應(yīng)商可以輕松提供并采取必要步驟來保護(hù)其軟件供應(yīng)鏈?!?/p>

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2023-02-23
新思科技發(fā)布《2023年開源安全和風(fēng)險分析》報告
——構(gòu)建全面的軟件物料清單是保衛(wèi)軟件供應(yīng)鏈安全的最佳防御開源代碼已經(jīng)深深扎根在現(xiàn)代軟件開發(fā)之中,甚至代碼擁有者通常都不知道自己的軟件中包含開源組件。開源管理不到位,可能會給企業(yè)造成負(fù)面輿論,甚至導(dǎo)致經(jīng)濟(jì)損失。尤其在并購交易中,雙方務(wù)必要及早了解目標(biāo)代碼庫中的潛在...

長按掃碼 閱讀全文