信息來(lái)源:IT之家
Synopsys 公司發(fā)布了 2020 年開(kāi)源安全和風(fēng)險(xiǎn)分析(OSSRA)報(bào)告�,該報(bào)告由 Synopsys 網(wǎng)絡(luò)安全研究中心(CyRC)制作,研究了由黑鴨審計(jì)服務(wù)團(tuán)隊(duì)進(jìn)行的 1,250 多次商業(yè)代碼庫(kù)審計(jì)的結(jié)果�。重點(diǎn)介紹了商業(yè)應(yīng)用程序中開(kāi)源使用的趨勢(shì)和模式����,并提供了見(jiàn)解和建議,以幫助組織從安全性����,許可證合規(guī)性和運(yùn)營(yíng)角度更好地管理開(kāi)源風(fēng)險(xiǎn)。
該報(bào)告重申了開(kāi)源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用���,揭示了過(guò)去一年中幾乎所有(99%)的經(jīng)審核代碼庫(kù)均至少包含一個(gè)開(kāi)源組件��,其中開(kāi)源代碼占總體代碼的70%�。然而更值得注意的是��,老化或廢棄的開(kāi)源組件的繼續(xù)廣泛使用�����,其中 91% 的代碼庫(kù)包含的組件已經(jīng)過(guò)時(shí)四年以上�,或者在過(guò)去兩年中沒(méi)有開(kāi)發(fā)活動(dòng)。
此外�����,更令人擔(dān)憂的則是不受管理的開(kāi)放源代碼帶來(lái)的日益嚴(yán)重的安全風(fēng)險(xiǎn)的趨勢(shì)��。經(jīng)過(guò)審計(jì)的代碼庫(kù)中有 75% 包含具有已知安全漏洞的開(kāi)源組件���;同時(shí)��,幾乎一半(49%)的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞�����;兩者比例都實(shí)現(xiàn)了同比增長(zhǎng)��。
Synopsys 網(wǎng)絡(luò)安全研究中心首席安全策略師 Tim Mackey 表示:“很難否認(rèn)開(kāi)源軟件在現(xiàn)代軟件開(kāi)發(fā)和部署中扮演的重要角色�����,但是很容易從安全和許可證合規(guī)性的角度忽略開(kāi)源軟件如何影響您的應(yīng)用程序風(fēng)險(xiǎn)態(tài)勢(shì)�����?���!?020 OSSRA 報(bào)告強(qiáng)調(diào)了組織如何繼續(xù)努力有效地跟蹤和管理其開(kāi)源風(fēng)險(xiǎn)�����。維護(hù)包括開(kāi)放源代碼依賴(lài)項(xiàng)在內(nèi)的第三方軟件組件的準(zhǔn)確清單��,并使其保持最新?tīng)顟B(tài),是從多個(gè)層面解決應(yīng)用程序風(fēng)險(xiǎn)的關(guān)鍵起點(diǎn)����。”
2020 OSSRA 報(bào)告中一些值得關(guān)注的開(kāi)源風(fēng)險(xiǎn)趨勢(shì)總結(jié)如下:
-
開(kāi)源的采用率繼續(xù)飆升�����。99% 的代碼庫(kù)至少包含一些開(kāi)源�����,每個(gè)代碼庫(kù)平均有 445 個(gè)開(kāi)源組件��,比 2018 年的 298 個(gè)有了顯著增加���。經(jīng)過(guò)審核的代碼中有 70 % 被確定為開(kāi)源����,這一數(shù)字從 2018 年的 60% 增長(zhǎng)到 2015 年(36%)以來(lái)的近兩倍��。
-
過(guò)時(shí)的和“廢棄的”開(kāi)源組件無(wú)處不在���。 91% 的代碼庫(kù)包含的組件或者已經(jīng)過(guò)時(shí)四年以上��,或者在過(guò)去兩年中沒(méi)有開(kāi)發(fā)活動(dòng)�����。除了存在安全漏洞的可能性增加之外����,使用過(guò)時(shí)的開(kāi)源組件的風(fēng)險(xiǎn)還在于更新它們還會(huì)帶來(lái)不必要的功能或兼容性問(wèn)題�����。
-
易受攻擊的開(kāi)源組件的使用再次呈上升趨勢(shì)��。在 2017 年至 2018 年期間����,包含易受攻擊的開(kāi)源組件的代碼庫(kù)所占比例從 78% 下降至 60% 之后,在 2019 年上升至 75%����。同樣,包含高風(fēng)險(xiǎn)漏洞的代碼庫(kù)的百分比從 2018 年的 40% 上升到 2019 年的 49%���。幸運(yùn)的是�����,2019 年審核的代碼庫(kù)均未受到臭名昭著的 Heartbleed 錯(cuò)誤或 2017 年困擾 Equifax 的 Apache Struts 漏洞的影響�����。
-
開(kāi)源許可證沖突繼續(xù)使知識(shí)產(chǎn)權(quán)面臨風(fēng)險(xiǎn)����。 68% 的代碼庫(kù)包含某種形式的開(kāi)放源代碼許可證沖突,而 33% 的代碼庫(kù)包含沒(méi)有可識(shí)別許可證的開(kāi)放源代碼組件����。許可證沖突的發(fā)生率因行業(yè)而異,從最高的 93%(互聯(lián)網(wǎng)和移動(dòng)應(yīng)用程序)到相對(duì)較低的 59%(虛擬現(xiàn)實(shí)����、游戲、娛樂(lè)��、媒體)不等�。
