2020 OSSRA 报告:91 % 的商业 App 包含过时或废弃的开源组件
Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告,该报告由 Synopsys 网络安全研究中心(CyRC)制作,研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。重点介绍了商业应用程序中开源使用的趋势和模式,并提供了见解和建议,以帮助组织从安全性,许可证合规性和运营角度更好地管理开源风险。
该报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中几乎所有(99%)的经审核代码库均至少包含一个开源组件,其中开源代码占总体代码的70%。然而更值得注意的是,老化或废弃的开源组件的继续广泛使用,其中 91% 的代码库包含的组件已经过时四年以上,或者在过去两年中没有开发活动。
此外,更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75% 包含具有已知安全漏洞的开源组件;同时,几乎一半(49%)的代码库包含高风险漏洞;两者比例都实现了同比增长。
Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 表示:“很难否认开源软件在现代软件开发和部署中扮演的重要角色,但是很容易从安全和许可证合规性的角度忽略开源软件如何影响您的应用程序风险态势。”2020 OSSRA 报告强调了组织如何继续努力有效地跟踪和管理其开源风险。 维护包括开放源代码依赖项在内的第三方软件组件的准确清单,并使其保持最新状态,是从多个层面解决应用程序风险的关键起点。”
2020 OSSRA 报告中一些值得关注的开源风险趋势总结如下:
- 开源的采用率继续飙升。99% 的代码库至少包含一些开源,每个代码库平均有 445 个开源组件,比 2018 年的 298 个有了显着增加。经过审核的代码中有 70 % 被确定为开源,这一数字从 2018 年的 60% 增长到 2015 年(36%)以来的近两倍。
- 过时的和“废弃的”开源组件无处不在。 91% 的代码库包含的组件或者已经过时四年以上,或者在过去两年中没有开发活动。除了存在安全漏洞的可能性增加之外,使用过时的开源组件的风险还在于更新它们还会带来不必要的功能或兼容性问题。
- 易受攻击的开源组件的使用再次呈上升趋势。在 2017 年至 2018 年期间,包含易受攻击的开源组件的代码库所占比例从 78% 下降至 60% 之后,在 2019 年上升至 75%。同样,包含高风险漏洞的代码库的百分比从 2018 年的 40% 上升到 2019 年的 49%。幸运的是,2019 年审核的代码库均未受到臭名昭著的 Heartbleed 错误或 2017 年困扰 Equifax 的 Apache Struts 漏洞的影响。
- 开源许可证冲突继续使知识产权面临风险。 68% 的代码库包含某种形式的开放源代码许可证冲突,而 33% 的代码库包含没有可识别许可证的开放源代码组件。许可证冲突的发生率因行业而异,从最高的 93%(互联网和移动应用程序)到相对较低的 59%(虚拟现实、游戏、娱乐、媒体)不等。
想要了解更多详细信息,可下载 2020 OSSRA 报告副本。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微软与 Redis Labs 达成合作,以改善 Redis 的 Azure 缓存
在RedisConf 2020Takeaway 上,Redis Labs宣布与微软达成新的战略协议,以将 Redis Enterprise 作为 Microsoft Azure 缓存上的集成托管服务交付。 目前,这项新服务已可在 Private Preview 中使用,它将通过高级企业级功能(包括 Flash 上的 Redis、modules)为 Azure 客户的关键任务工作负载释放 Redis 的功能,以及在将来用于混合云架构的 active geo-redundant缓存。 Redis Labs 的首席执行官兼联合创始人 Ofer Bengal表示,“Azure Cache for Redis 的新企业层满足了我们从客户那里听到的对完全托管的云数据存储的需求,该存储可为大型数据集节省大量成本,并且最大程度地简化了 Redis Enterprise 的使用,并从其数据中获得所需的信心和弹性迁移到 Azure 时的层。” 微软开发人员部门副总裁 Julia Liuson则表示,“与 Redis Labs 的集成强调了微软对成功进行云和开源协作的愿景,该协作可满足开发人员的需求并支持开...
- 下一篇
华为否认提交给 Linux 内核的不安全补丁 HKSP 来自官方
上周有华为工程师为 Linux 内核提交了一个内核强化补丁 HKSP(Huawei Kernel Self Protection,华为内核自我防护),不过在代码检查后,该补丁被发现存在安全漏洞。 The patch itself is riddled with bugs and weaknesses and generally lacks any kind of threat model。 该补丁自身存在 bug 与漏洞,并且没有任何威胁模型。 披露补丁存在问题的开发团队 grsecurity 在原帖中指出补丁GitHub 仓库作者标记为来自华为,并且该补丁直接冠名“华为”,不过保留了意见:目前尚不清楚发布的补丁集是否是华为的正式版本,或者该代码是否已经在任何华为设备上发布。 本来是一件极小的事,但是当前中美贸易摩擦的背景之下,此前华为也已经被指责在提供的设备中安装后门,grsecurity 的帖子不免让人联想。很快,根据 ZDNet 的消息,华为已经在周一的一份声明中表示,尽管该项目的名称中使用了“华为”,并且该项目是由其一名顶级安全工程师开发的,但华为并未正式参与 HKSP 项目。...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2全家桶,快速入门学习开发网站教程