美國(guó)新思科技公司 (Synopsys, Nasdaq: SNPS近日發(fā)布了《2019年開(kāi)源安全和風(fēng)險(xiǎn)分析》(OSSRA)報(bào)告 。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心(CyRC)制作,審查了由黑鴨審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的超過(guò)1,200個(gè)商業(yè)應(yīng)用程序和庫(kù)的審計(jì)結(jié)果。報(bào)告重點(diǎn)介紹了開(kāi)源應(yīng)用的趨勢(shì)和模式,以及不安全的開(kāi)源組件和許可證沖突的普遍性。
報(bào)告顯示,現(xiàn)在企業(yè)面臨著開(kāi)源應(yīng)用風(fēng)險(xiǎn)管理的挑戰(zhàn),這些難題在過(guò)去幾年就已經(jīng)有苗頭了。然而,數(shù)據(jù)還表明現(xiàn)在已經(jīng)達(dá)到了一個(gè)拐點(diǎn),由于風(fēng)險(xiǎn)意識(shí)和商業(yè)軟件組件分析解決方案成熟度的提高,許多企業(yè)提升了其管理開(kāi)源風(fēng)險(xiǎn)的能力。
新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey 表示:“開(kāi)源在現(xiàn)代軟件開(kāi)發(fā)和部署中發(fā)揮著越來(lái)越重要的作用,但要實(shí)現(xiàn)其價(jià)值,企業(yè)需要從安全性和許可證合規(guī)的角度來(lái)理解和管理它如何影響其風(fēng)險(xiǎn)態(tài)勢(shì)。2019年OSSRA報(bào)告提供了商業(yè)應(yīng)用程序中開(kāi)源風(fēng)險(xiǎn)管理的狀況概覽。報(bào)告表明現(xiàn)在仍然存在重大挑戰(zhàn),絕大多數(shù)的應(yīng)用程序包含開(kāi)源安全漏洞和許可證沖突,但同時(shí)也強(qiáng)調(diào)這些挑戰(zhàn)是可以解決的,因?yàn)殚_(kāi)源漏洞和許可證沖突的數(shù)量與去年相比有所下降。”
2019年OSSRA報(bào)告中最值得注意的開(kāi)源風(fēng)險(xiǎn)趨勢(shì)包括:
- 開(kāi)源采用率大幅提升。2018年審計(jì)的代碼庫(kù)中96%包含開(kāi)源組件,每個(gè)代碼庫(kù)中平均有298個(gè)開(kāi)源組件,2017年則為257個(gè)。
- 開(kāi)源許可證沖突可能會(huì)使知識(shí)產(chǎn)權(quán)面臨風(fēng)險(xiǎn)。68%的代碼庫(kù)包含某種形式的開(kāi)源許可證沖突,38%的代碼庫(kù)包含沒(méi)有可識(shí)別許可證的開(kāi)源組件。
- “廢棄”組件的使用很常見(jiàn)。85%的代碼庫(kù)包含過(guò)去四年以上老式的組件或者過(guò)去兩年沒(méi)有開(kāi)發(fā)的組件。如果一個(gè)組件處于非活躍狀態(tài)或者無(wú)人維護(hù),也就意味著沒(méi)有人正在處理其潛在的漏洞。
- 許多組織未能修補(bǔ)或更新其開(kāi)源組件。2018年黑鴨審計(jì)中確定的漏洞的平均年齡是6.6年,略高于2017年 。這表明補(bǔ)救措施沒(méi)有顯著改善。2018年掃描的代碼庫(kù)中有43%包含超過(guò)十年以上的漏洞。國(guó)家漏洞數(shù)據(jù)庫(kù)(National Vulnerability Database)顯示2018年增加了16,500個(gè)新漏洞,其明確的修補(bǔ)流程需要擴(kuò)展以適應(yīng)增加的披露的漏洞。
- 并非所有的漏洞都相同,但許多企業(yè)甚至沒(méi)有解決那些風(fēng)險(xiǎn)最高的漏洞。超過(guò)40%的代碼庫(kù)包含至少一個(gè)高風(fēng)險(xiǎn)開(kāi)源漏洞。
報(bào)告顯示開(kāi)源軟件的使用本身并不是問(wèn)題,實(shí)際上這對(duì)軟件創(chuàng)新至關(guān)重要。但是未能積極主動(dòng)地鑒別和管理任何與開(kāi)源組件使用有關(guān)的安全和許可證風(fēng)險(xiǎn),可能極具破壞性。雖然風(fēng)險(xiǎn)因素仍然存在,2019年OSSRA報(bào)告數(shù)據(jù)表明,在Equifax數(shù)據(jù)泄露之后,開(kāi)源風(fēng)險(xiǎn)意識(shí)的提高和商業(yè)軟件組件分析解決方案的成熟度已經(jīng)取得了進(jìn)展:
- 企業(yè)在管理開(kāi)源安全漏洞方面正漸入佳境。2018年審計(jì)的代碼庫(kù)中有60%包含至少一個(gè)漏洞,相比2017年的78%已經(jīng)改善不少。
- 總體而言,開(kāi)源許可證合規(guī)性也得到了改善。2018年審計(jì)的代碼庫(kù)中有68%包含有許可證沖突的組件,2017年則為74%。
欲了解更多,請(qǐng)下載:https://www.synopsys/zh-cn/software-integrity/resources/reports/2019-open-source-security-risk-analysis.html?cmp=pr-sig2019年OSSRA報(bào)告 。
