新思科技發(fā)布《2019年開源安全和風險分析》報告

--開源風險管理正在改善，但仍是大多企業(yè)的挑戰(zhàn)

2019-05-15 13:44:37 作者：來源：CTI論壇評論：0 　點擊：

　　15年來，全球許多安全、開發(fā)和法律團隊依靠BlackDuck解決方案（黑鴨）幫助他們管理開源使用帶來的風險。黑鴨軟件組件分析解決方案和開源審計為企業(yè)提供了追蹤代碼中的開源，降低安全性和許可合規(guī)風險，并使用現有的DevOps工具和流程自動實施開源策略。黑鴨軟件公司現在隸屬新思科技�；谶@些真實的數據，新思科技分析和總結出一份報告，為業(yè)界提供參考。

　　美國新思科技公司（Synopsys, Nasdaq: SNPS近日發(fā)布了《2019年開源安全和風險分析》（OSSRA）報告。該報告由新思科技網絡安全研究中心（CyRC）制作，審查了由黑鴨審計服務團隊執(zhí)行的超過1,200個商業(yè)應用程序和庫的審計結果。報告重點介紹了開源應用的趨勢和模式，以及不安全的開源組件和許可證沖突的普遍性。

　　報告顯示，現在企業(yè)面臨著開源應用風險管理的挑戰(zhàn)，這些難題在過去幾年就已經有苗頭了。然而，數據還表明現在已經達到了一個拐點，由于風險意識和商業(yè)軟件組件分析解決方案成熟度的提高，許多企業(yè)提升了其管理開源風險的能力。

　　新思科技網絡安全研究中心首席安全策略師Tim Mackey 表示：“開源在現代軟件開發(fā)和部署中發(fā)揮著越來越重要的作用，但要實現其價值，企業(yè)需要從安全性和許可證合規(guī)的角度來理解和管理它如何影響其風險態(tài)勢。2019年OSSRA報告提供了商業(yè)應用程序中開源風險管理的狀況概覽。報告表明現在仍然存在重大挑戰(zhàn)，絕大多數的應用程序包含開源安全漏洞和許可證沖突，但同時也強調這些挑戰(zhàn)是可以解決的，因為開源漏洞和許可證沖突的數量與去年相比有所下降。”

　　2019年OSSRA報告中最值得注意的開源風險趨勢包括：

開源采用率大幅提升。2018年審計的代碼庫中96%包含開源組件，每個代碼庫中平均有298個開源組件，2017年則為257個。
開源許可證沖突可能會使知識產權面臨風險。68%的代碼庫包含某種形式的開源許可證沖突，38%的代碼庫包含沒有可識別許可證的開源組件。
“廢棄”組件的使用很常見。85%的代碼庫包含過去四年以上老式的組件或者過去兩年沒有開發(fā)的組件。如果一個組件處于非活躍狀態(tài)或者無人維護，也就意味著沒有人正在處理其潛在的漏洞。
許多組織未能修補或更新其開源組件。2018年黑鴨審計中確定的漏洞的平均年齡是6.6年，略高于2017年。這表明補救措施沒有顯著改善。2018年掃描的代碼庫中有43%包含超過十年以上的漏洞。國家漏洞數據庫（National Vulnerability Database）顯示2018年增加了16,500個新漏洞，其明確的修補流程需要擴展以適應增加的披露的漏洞。
并非所有的漏洞都相同，但許多企業(yè)甚至沒有解決那些風險最高的漏洞。超過40%的代碼庫包含至少一個高風險開源漏洞。

　　報告顯示開源軟件的使用本身并不是問題，實際上這對軟件創(chuàng)新至關重要。但是未能積極主動地鑒別和管理任何與開源組件使用有關的安全和許可證風險，可能極具破壞性。雖然風險因素仍然存在，2019年OSSRA報告數據表明，在Equifax數據泄露之后，開源風險意識的提高和商業(yè)軟件組件分析解決方案的成熟度已經取得了進展：