新思科技發(fā)布《2023年開源安全和風險分析》報告

——構建全面的軟件物料清單是保衛(wèi)軟件供應鏈安全的最佳防御

開源代碼已經深深扎根在現代軟件開發(fā)之中，甚至代碼擁有者通常都不知道自己的軟件中包含開源組件。開源管理不到位，可能會給企業(yè)造成負面輿論，甚至導致經濟損失。尤其在并購交易中，雙方務必要及早了解目標代碼庫中的潛在開源風險、安全漏洞和代碼質量問題。盡管2022年經濟走勢不明朗，科技領域的并購也相應放緩，但經過新思科技審計的代碼庫數量依然可觀。

新思科技(Synopsys, Nasdaq: SNPS) 近日發(fā)布了《2023年開源安全和風險分析》報告(2023 OSSRA)。該報告是OSSRA的第八個版本，由新思科技網絡安全研究中心 (CyRC) 編制，分析了1,700 多項并購交易中涉及的商業(yè)和專有代碼庫的審計結果。該報告揭示了 17 個行業(yè)的開源使用趨勢。

2023 OSSRA報告深入探討了商業(yè)軟件中開源安全、合規(guī)、許可證和代碼質量風險的現狀，以幫助安全、法律、風險和開發(fā)團隊更好地把握開源安全和許可風險形勢。今年的調查結果顯示，絕大多數代碼庫 (84%) 至少包含一個已知的開源漏洞，較2022年調查結果增加了近 4%。

企業(yè)想要降低來自開源、專有和商業(yè)代碼的業(yè)務風險，首要就是構建其使用的所有軟件的全面清單——軟件物料清單 (SBOM)，無論這些軟件是來自何處或如何獲取。企業(yè)只有擁有了完整的清單，才能制定戰(zhàn)略以應對Log4Shell 等新的安全漏洞帶來的風險。

新思科技軟件質量與安全部門總經理 Jason Schmitt 表示：“2023 OSSRA 報告強調了開源是當今絕大部分軟件構建的基礎。在今年的審計中，開源組件的平均數量增加了 13%（從 528 增加到 595）。這個數據進一步凸顯了實施全面的 SBOM 的重要性。SBOM列出了應用中的所有開源組件及其許可證、版本、和補丁狀態(tài)。這是通過抵御軟件供應鏈攻擊來理解和降低業(yè)務風險的基本策略?！?/p>

2023 OSSRA 報告的主要發(fā)現包括：

· 根據過去五年OSSRA報告的數據，開源采用率顯著提高：這幾年，教學更多地轉向線上，師生在線互動增多，進而推動了教育軟件的應用，開源組件的采用也大幅提升，增長了 163%；其它行業(yè)包括航空航天、汽車、運輸和物流行業(yè)，開源的采用率激增了97%；制造業(yè)和機器人領域對開源的采用率增長了 74%。

· 過去五年，高風險漏洞增加速度驚人：自 2019 年以來，零售和電子商務行業(yè)的高風險漏洞激增了557%；物聯網 (IoT) 領域，89%被審計的代碼是開源，同時，高風險漏洞增加了 130%；同樣，航空航天、汽車、運輸和物流垂直領域的高風險漏洞增加了 232%。

· 與使用許可組件的企業(yè)相比，使用沒有許可的開源組件會使企業(yè)面臨更大的違反版權法的風險：報告發(fā)現，31% 的代碼庫使用沒有可識別許可證或具有定制許可證的開源代碼。這比去年的 OSSRA 報告增加了 55%；缺少與開源代碼相關的許可證或其它開源許可證，可能會對被許可方提出非預期的要求，因此經常需要對潛在知識產權問題或其它影響進行法律評估。

· 可用的代碼質量和安全補丁還未普遍應用于代碼庫：在經審計的1,480 個含風險評估的代碼庫中，91% 的代碼庫包含過時的開源組件。除非企業(yè)能夠持續(xù)使用最新且準確的 SBOM，否則過時的組件可能會被遺忘，直到演變成為易受到高風險攻擊的組件。

新思科技軟件質量與安全部門安全解決方案高級經理 Mike McGuire 表示：“管理開源風險的關鍵是保持應用內容的完整可見性?；诳梢娦?，將風險管理構建到應用生命周期中。企業(yè)可以憑借必需的信息武裝自己，以便采取明智、及時的風險解決方案。企業(yè)在采用任何類型的第三方軟件時都應該正確地假設它包含了開源。而驗證這一點并控制相關風險就像獲得 SBOM 一樣簡單——供應商可以輕松提供并采取必要步驟來保護其軟件供應鏈?！?/p>

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。