Synopsys:75% 的代码库包含漏洞,每个代码库平均有 82 个漏洞
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
近日,Synopsys 公司发布 2020 年开源安全和风险分析(OSSRA)报告。该报告重点介绍了商业应用程序中开源使用的趋势和模式,并提供见解和建议,来帮助组织从安全性、许可证合规性和运营角度更好地管理开源风险。
据悉,报告是由 Black Duck Audits(黑鸭审计)服务团队进行的 1250 多次商业代码库审计的结果,审计涉及 17 个行业,包括物联网、网络 & 软件基础设施、金融服务 & 金融科技、企业软件 /SaaS、零售 & 电商、网络安全等。
99% 的代码库中包含开源组件,开源在全部审计的代码库中占 70%。
据悉,黑鸭审计研究发现:在 2019 年审计的代码库中,有 99% 审计的代码库包含开源组件。并且,在审计的 17 个行业中,有 9 个行业 100% 的代码库包含开源。它们还发现,在全部审计的代码库中,开源占到 70%。
只有 1.2% 的代码库中不包含开源组件
同时,报告还发现,2019 年每个代码库中平均有 445 个开源组件,与 2018 年的 298 个相比,开源组件使用率大幅增加。2016 年,Synopsys 公司发布第一份开源安全和风险分析(OSSRA)报告。当时,开源在全部审计的代码库中仅占 36%,现在,这个数字从 2018 年的 60% 上升到 2019 年的 70%。
此外,它们还发现,有 124 个开源组件被普遍应用于所有 17 个行业中的代码库中。
其中,排名前五的开源组件为:
1.jQuery:一个快速、简洁的 JavaScript 框架
2.Bootstrap:出自 Twitter,它是基于 HTML、CSS、JavaScript 开发的简洁、直观、强悍的前端开发框架,让 Web 开发更加快捷。
3.Font Awesome:它是为 Twitter Bootstrap 设计的图标字体。
4.Lodash:它是一个一致性、模块化、高性能的 JavaScript 实用工具库
5.jQuery UI:它是一套 jQuery 的页面 UI 插件
此外,前十的开源组件(代码库包含组件的百分比)如下图:
在审计的代码库中,JavaScript 是使用最多的编程语言,占比为 74%。而 C++、Shell scripts 和 C 则占代码库的 50% 或更高。总之,JavaScript 是开源组件中占主导性的编程语言,C++ 紧随其后,排名第二。
前十的编程语言排名(代码库使用该语言的百分比)
75% 的代码库包含漏洞,有 49% 的代码库包含高风险漏洞
根据这份报告,黑鸭审计指出:在 2019 年审计的代码库中,有 82% 的开源组件是过时的。同样,它们还发现:高达 75% 的代码库至少包括一个公开漏洞,2018 年才只有 60%。并且,每个代码库平均有 82 个漏洞。
在 3 月份,安全公司 WhiteSource 发布了一份“开源安全年度报告”。报告表明, 2019 年,公开披露的开源安全漏洞数量再创新高,总数为 6100 个。与 2018 年相比,开源安全漏洞的数量增长近 50%。
而据奇安信代码安全事业部介绍,开源软件的代码安全缺陷密度是 14.22/KLOC,高危安全缺陷密度为 0.72/KLOC。换句话说,每 1000 行开源软件代码中就有 14 个安全缺陷,每 1400 行开源软件代码中就有 1 个高危安全缺陷。
Synopsys 公司的报告还表明,在审计的全部代码库中,有 49% 的代码库包含高风险漏洞。事实上,开源软件的高风险漏洞危害极大,比如美国征信巨头 Equifax2017 年发生数据泄露,原因就是黑客利用 Struts 开源软件的漏洞实施攻击,窃取 1.45 亿用户的数据。
此外,报告还发现:
68% 的代码库包含某种形式的开放源代码许可证冲突,而 33% 的代码库包含没有可识别的开源组件。许可证冲突的发生率因行业有所不同,互联网和移动 App 行业最高(93%),VR、游戏、娱乐和媒体等行业相对较低(59%)。
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
5G和物联网:彼此兼容
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 5G来了!人们很难忽视围绕5G的炒作,因为政府、电信提供商、供应商都在争夺谁将引领下一波连接浪潮。5G承诺显著提高网络速度,并与移动设备建立更可靠的连接。 但是,它不仅仅是高速网络。它可以更快地传输更多数据,这一事实可能会导致物联网技术的空前发展。Juniper Research的一项研究显示,到2024年,由5G支持的物联网有望为运营商带来80亿美元的收入,比2020年的5.25亿美元有大幅增长。 物联网5G使用案例 一旦5G全面部署,肯定会颠覆市场,我们将看到新的或现有的应用将快速增长。 工业物联网通信 智能制造已经在车间连接了数百万台设备。5G通信可以创建更好的连接,并更好地控制当今手动执行的许多流程。5G在这里有各种使用案例:智能工厂、无线工业控制以及可穿戴设备。 互联医疗 EHR/EMR系统的采用和医疗数据/记录的数字化只是实现现代医疗保健的第一步,而5G将允许患者通过更快的医疗图像传输、远程医疗、急救服务生物连接以及可穿戴设备的实时生物连接获得更及时的护理和监控。尤其是远程医...
- 下一篇
SOFAMosn v0.12.0 发布,云原生网络代理平台
MOSN v0.12.0 发布报告如下: 新功能 支持 Skywalking@arugal Stream Filter 新增了一个 Receive Filter 执行的阶段,可在 MOSN 路由选择完 Host 以后,再次执行 Receive Filter@wangfakang HTTP2 支持流式@peacocktrain@taoyuanyuan FeatureGate 新增接口 KnownFeatures,可输出当前 FeatureGate 状态@nejisama 提供一种协议透明的方式获取请求资源(PATH、URI、ARG),对于资源的定义由各个协议自身定义@wangfakang 新增负载均衡算法 支持 ActiveRequest LB@CodingSinger 支持 WRR LB@nejisama 优化 XProtocol 协议引擎优化@neverhook 修改 XProtocol 心跳响应接口,支持协议的心跳响应可返回更多的信息 优化 connpool 的心跳触发,只有实现了心跳的协议才会发心跳 Dubbo 库依赖版本从 v1.5.0-rc1 更新到 v1.5.0@cch12...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能