”
開源組件和庫幾乎是每個行業中每個應用程序的基礎。隨着開源軟件在商業軟件中的使用量日益增加,識別、跟蹤和 管理開源的需求也呈現出指數級增長。許可證驗證、已知漏洞修補流程、以及處理過時和不受支持的開源軟件包的策略,對於負責任地使用開源代碼都不可或缺。
美國新思科技公司 (Synopsys, Nasdaq: SNPS)近日發佈了《2020年開源安全和風險分析》報告(OSSRA)。該報告由新思科技網絡安全研究中心(CyRC)製作,研究了由Black Duck審計服務團隊執行的對超過1,250個商業代碼庫的審計結果。報告重點介紹了在商業應用程序中開源應用的趨勢和模式,並且提供見解和建議,以幫助企業從安全性、許可證合規性和操作角度更好地管理開源風險。
2020 OSSRA報告重申了開源在當今軟件生態系統中的關鍵作用,揭示了過去一年中經過審計的所有有效代碼庫(99%)至少包含一個開源組件,其中開源佔所有代碼的70%。指的注意的是,老化或廢棄的開源組件仍然被廣泛使用,91%的代碼庫中包含的組件已經過期四年以上或過去兩年中沒有開發活動。
在今年的分析中,最令人擔憂的趨勢是未管理的開源代碼帶來的安全風險日益增加,經過審計的代碼庫中,75%包含具有已知安全漏洞的開源組件,而去年這一比例是60%。同樣,將近一半(49%)的代碼庫包含高風險漏洞,去年則為40%。
新思科技網絡安全研究中心首席安全策略師Tim Mackey表示:“我們很難摒棄開源在現代軟件開發和部署中扮演的重要角色;但是卻很容易從安全性和許可證合規性角度忽略它如何影響應用程序風險態勢。2020年OSSRA報告強調企業如何持續努力有效地追蹤和管理其開源風險。維護一個準確的第三方軟件組件庫包括開源依賴項,並對其保持更新是從多個層面處理應用程序風險的關鍵起點。”
2020年OSSRA報告中最值得注意的開源風險趨勢包括:
• 開源採用率持續增長。99%的代碼庫包含至少一些開源,每個代碼庫中平均有445個開源組件,比2018年的298個有顯著增加。被審計的代碼中有70%是開源代碼,這一數字從2018年的60%增至目前,並且自2015年(36%)以來幾乎翻了一番。
• 過期和“廢棄”的開源組件非常普遍。91%的代碼庫包含已經過期四年以上或者近兩年沒有開發活動的組件。除了存在安全漏洞的可能性增加之外,使用過期的開源組件的風險在於更新它們還會帶來不必要的功能和兼容性問題。
• 易受攻擊的開源組件的使用再次呈上升趨勢。2019年,包含易受攻擊的開源組件的代碼庫的比例從2017年的78%下降至2018年的60%之後增至了75%。同樣地,包含高風險漏洞的代碼庫的比例由2018年的40%增至49%。幸運地是, 2019年審計的代碼庫中都沒有受到臭名昭著的Heartbleed漏洞或2017年困擾Equifax的Apache Struts漏洞的影響。
• 開源許可證衝突持續使知識產權面臨風險。儘管開源軟件擁有“免費”的優勢,但它與其它軟件一樣都要受到許可證的約束。67%的代碼庫包含某種形式的開源代碼許可證衝突,33%的代碼庫包含沒有可識別許可證的開源組件。許可證衝突的發生率因行業而異,從最高的93%(互聯網和移動應用程序)到相對較低的59%(虛擬現實、遊戲、娛樂和媒體)。