中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

新思科技OSSRA報(bào)告發(fā)現(xiàn)開源安全、許可證合規(guī)性和操作風(fēng)險(xiǎn)依然很普遍

2020-06-02 10:01:04   作者:   來源:CTI論壇   評論:0  點(diǎn)擊:


  現(xiàn)代應(yīng)用中始終包含大量的開源組件,并可能存在安全 性、許可和代碼質(zhì)量問題。如何管理開源的使用非常重要。對商業(yè)軟件與開源軟件之間的差異越是關(guān)注,結(jié)果就越好。
  新思科技的年度OSSRA報(bào)告旨在深入剖析商業(yè)軟件中開源安全性、合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)的情況,助力企業(yè)開發(fā)安全、高質(zhì)量的軟件。
  美國新思科技公司  (Synopsys, Nasdaq: SNPS)近日發(fā)布了(2020年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心 (CyRC)制作,研究了由Black Duck審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對超過1,250個商業(yè)代碼庫的審計(jì)結(jié)果。報(bào)告重點(diǎn)介紹了在商業(yè)應(yīng)用程序中開源應(yīng)用的趨勢和模式,并且提供見解和建議,以幫助企業(yè)從安全性、許可證合規(guī)性和操作角度更好地管理開源風(fēng)險(xiǎn)。
  2020 OSSRA報(bào)告重申了開源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用,揭示了過去一年中經(jīng)過審計(jì)的所有有效代碼庫(99%)至少包含一個開源組件,其中開源占所有代碼的70%。值得注意的是,老化或廢棄的開源組件仍然被廣泛使用,91%的代碼庫中包含的組件已經(jīng)過期四年以上或過去兩年中沒有開發(fā)活動。
  在今年的分析中,最令人擔(dān)憂的趨勢是未管理的開源代碼帶來的安全風(fēng)險(xiǎn)日益增加,經(jīng)過審計(jì)的代碼庫中,75%包含具有已知安全漏洞的開源組件,而去年這一比例是60%。同樣,將近一半(49%)的代碼庫包含高風(fēng)險(xiǎn)漏洞,去年則為40%。
  新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示:“我們很難摒棄開源在現(xiàn)代軟件開發(fā)和部署中扮演的重要角色;但是卻很容易從安全性和許可證合規(guī)性角度忽略它如何影響應(yīng)用程序風(fēng)險(xiǎn)態(tài)勢。2020年OSSRA報(bào)告強(qiáng)調(diào)企業(yè)如何持續(xù)努力有效地追蹤和管理其開源風(fēng)險(xiǎn)。維護(hù)一個準(zhǔn)確的第三方軟件組件庫包括開源依賴項(xiàng),并對其保持更新是從多個層面處理應(yīng)用程序風(fēng)險(xiǎn)的關(guān)鍵起點(diǎn)。”

  2020年OSSRA報(bào)告中最值得注意的開源風(fēng)險(xiǎn)趨勢包括:
  • 開源采用率持續(xù)增長。99%的代碼庫包含至少一些開源,每個代碼庫中平均有445個開源組件,比2018年的298個有顯著增加。被審計(jì)的代碼中有70%是開源代碼,這一數(shù)字從2018年的60%增至目前,并且自2015年(36%)以來幾乎翻了一番。
  • 過期和“廢棄”的開源組件非常普遍。91%的代碼庫包含已經(jīng)過期四年以上或者近兩年沒有開發(fā)活動的組件。除了存在安全漏洞的可能性增加之外,使用過期的開源組件的風(fēng)險(xiǎn)在于更新它們還會帶來不必要的功能和兼容性問題。
  • 易受攻擊的開源組件的使用再次呈上升趨勢。2019年,包含易受攻擊的開源組件的代碼庫的比例從2017年的78%下降至2018年的60%之后增至了75%。同樣地,包含高風(fēng)險(xiǎn)漏洞的代碼庫的比例由2018年的40%增至49%。幸運(yùn)地是, 2019年審計(jì)的代碼庫中都沒有受到臭名昭著的Heartbleed漏洞或2017年困擾Equifax的Apache Struts漏洞的影響。
  • 開源許可證沖突持續(xù)使知識產(chǎn)權(quán)面臨風(fēng)險(xiǎn)。盡管開源軟件擁有“免費(fèi)”的優(yōu)勢,但它與其它軟件一樣都要受到許可證的約束。67%的代碼庫包含某種形式的開源代碼許可證沖突,33%的代碼庫包含沒有可識別許可證的開源組件。許可證沖突的發(fā)生率因行業(yè)而異,從最高的93%(互聯(lián)網(wǎng)和移動應(yīng)用程序)到相對較低的59%(虛擬現(xiàn)實(shí)、游戲、娛樂和媒體)。
  想要了解更多,可以點(diǎn)擊下載點(diǎn)擊下載2020年OSSRA報(bào)告 


【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點(diǎn)判斷保持中立,不對所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題

CTI論壇會員企業(yè)