2020 OSSRA开源安全和风险报告要点
极客时间编辑部
讲述:初明明大小:4.85M时长:05:19
你好,欢迎收听极客视点。
开源组件在当今软件生态系统中扮演了关键角色,Synopsys 于 5 月 12 日发布了 2020 开源安全与风险分析报告,该报告强调了商业应用程序中开源软件使用的趋势和模式,也提供了有用的见解和建议来帮助组织更好地对他们的软件风险进行管理。ECT 新闻网的记者杰曼(Jack M. Germain)对报告要点做了整理,InfoQ 对其进行了翻译,如下。
Synopsys 的研究人员分析了超过 1250 个商业代码库。Synopsys 的网络安全研究中心(CyRC)审查了由 Black Duck 审计服务团队所执行的基于代码基的审计。
根据 Synopsys 的说法,在今年的分析中,最令人担忧的趋势是由非托管的开源代码所带来的不断增长的安全风险。代码审计显示,75% 的代码库包含具有已知安全漏洞的开源组件。
这一数字高于去年报告,2019 年报告中这样的代码库比例还是 60%。类似地,今年审计中发现 49% 的代码库包含高风险漏洞,而去年这一比例仅为 40%。
随着商业软件使用越来越多的开源软件,非托管开源代码带来的隐患也与日俱增。
另外,在今年所有被审计的代码库中,有 99% 的代码库至少包含一个开源组件,而每个代码库平均包含 445 个开源组件。这与 2018 年报告显示的每个代码库平均包含 298 个开源组件相比,数量有了显著的增长。在所有被审计的代码中,有 70% 的内容被认定为开源代码,这一比例也高于 2018 年 60% 的比例,而 2015 年这个比例还是 36%,这几年来这一比例几乎翻了一番。
91% 的代码库所包含的组件要么已经过期超过四年,要么在过去两年没有任何开发活动。这会导致面向企业和消费者的许多应用程序都面临安全问题,还有违反许可的风险。此外,使用过时的开源组件的风险还有运维威胁,对它们进行更新会引入一些不需要的功能或兼容性问题。
Synopsys 网络安全研究中心的首席安全战略官蒂姆·麦基(Tim Mackey)针对该观察表示:“如今我们很难忽视开源在现代软件开发和部署中的重要作用,但是,从安全和许可合规的角度来看人们很容易忽略这些开源组件对应用程序所产生的风险影响……在多个层面上,保持开源组件的及时更新都是解决应用程序风险的一个关键起点。”
报告还指出,大量使用非托管的开源组件也可能导致产品的知识产权面临风险。尽管开源软件以免费著称,但这些代码也和商业代码一样,同样受某些许可协议的约束和监管。
研究人员发现,68% 的代码库中存在着某种形式的开源许可冲突。而 33% 的代码库还含有没有可识别许可的开源组件。
该报告得出的结论是,如今安全漏洞已经成为各类软件的一个主要问题。现在将近一半的代码库中包含高风险的漏洞。
其中有大约 73% 的漏洞可能让代码库所有者面临某些法律问题。因为这些代码库所使用的某些开源组件的许可看上去与该代码库的整体许可有冲突,甚至有些使用根本就属于未经许可的行为。
报告还显示,此类软件许可冲突发生率在不同行业中存在着显著的差异。
许可冲突发生率在各行业中高低不等,其中最高的是互联网和移动 APP 行业高达 93% 的许可冲突率,而最低的是虚拟现实、游戏、娱乐和媒体 APP 行业 59% 的许可冲突率。
2020 年 OSSRA 报告总结说,各个公司和组织需要对他们所使用的开源组件进行更好的维护。因为这些开源代码现在已经成为他们构建或使用的软件的关键部分。
下载一个开源组件、开源包或开源解决方案,然后直接就使用,这么做绝非明智之举。如果下载的开源软件没有得到适当的管理,那么这些开源软件为企业在监管方面带来的挑战并不亚于任何商业软件所带来的挑战。
开源软件和商业软件关键的区别在于,开源软件其背后并没有一个商业实体可以依托,从而让律师用法律手段来实现问题的解决。这个需要的补丁要么来自于支持这个开源组件的开源社区,要么来自一个企业的本地开发团队,而后者在理想情况下应该会将该组件的补丁提交回开源社区。
无论补丁来自于哪种途径,如果修正补丁的过程中没有开源社区的参与,那么随着开源组件的发展要持续保持一个补丁的兼容状态就会变得更加困难。
以上就是 2020 OSSRA 开源安全与风险分析报告的要点,你也可以点击文末链接了解更多更内容。
延伸阅读:
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论