84% 的代码库至少包含一个已知的开源漏洞
应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。
2023 OSSRA 报告基于对并购交易中涉及的代码库的审计分析,共涉及 17 个行业。审计检查了 1481 个代码库的漏洞和开源许可合规性,另外 222 个代码库则仅针对合规性进行了分析;调查结果深入探讨了商业软件中开源安全、合规、许可和代码质量风险的现状。
其中,航空航天、航空、汽车、运输、物流,教育科技和物联网 (IoT) 三个领域的代码库中,均包含部分开源代码;物联网领域开源代码占总代码的 89%。其余的垂直行业,也有超过 92% 的代码库是开源的。在审计的 1703 个代码库中,共有 96% 包含开源代码。
一些主要发现包括:
- 五年间开源使用显着增长:全球大流行促进了教育技术部门对开源的采用,实现 163% 增长。其他经历开源增长大幅飙升的行业包括航空航天、航空、汽车、运输和物流行业,增长了 97%;制造业和机器人技术领域增长了 74%。
- 过去五年的高危漏洞也以惊人的速度增长: 自 2019 年以来,OSSRA 中所有 17 个行业的高危漏洞至少增加了 42%。其中,零售和电子商务领域的高危漏洞激增了 557%。相比之下,物联网领域同期的高危漏洞增加了 130%;航空航天、航空、汽车、运输和物流垂直领域的高危漏洞增加了 232%;计算机硬件和半导体行业的增幅也高达 317%。
- 与使用许可组件相比,使用没有许可的开源组件会使组织面临更大的违反版权法的风险: 报告发现,31% 的代码库使用没有可识别许可或定制许可的开源;相较去年的 OSSRA 报告增加了 55%。
- 可用的代码质量和安全补丁并未应用于大多数代码库:在包含风险评估的 1480 个经过审计的代码库中,有 91% 包含开源组件的过时版本。这意味着更新或补丁可用但尚未应用。
此外,Log4J 漏洞仍然存在。在全部的代码库中,有 5% 的代码库中发现了易受攻击的 Log4J 版本;审计的 Java 代码库中,也有 11% 发现了易受攻击的 Log4J 版本。
报告建议,为避免漏洞利用并保持开源代码更新,组织应使用软件物料清单 (SBOM)。“在今年的审计中,开源组件的平均数量增加了 13%(从 528 个增加到 595 个),进一步强调了实施全面的 SBOM 的重要性;全面的 SBOM 列出了应用程序中的所有开源组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来了解和降低业务风险的基本策略”。且开源组件的 SBOM 允许组织快速查明有风险的组件,并适当地确定修复的优先级。

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
PureFlash —— 分布式存储系统
PureFlash是一个开源的分布式存储系统,项目起始于2016年。 一、PureFlash整体介绍 PureFlash是一个开源的ServerSAN实现,也就是通过大量的通用服务器,加上PureFlash的软件系统,构造出一套能满足企业各种业务需求的分布式SAN存储。 PureFlash是为全闪存时代而设计的存储系统。当前SSD盘的应用越来越广泛,大有全面取代HDD的趋势。SSD与HDD的显著区别就是性能差异,这也是用户体验最直接的差异,而且随着NVMe接口的普及,二者差异越来大,这种近百倍的量变差异足以带来架构设计上的质变。举个例子,原来HDD的性能很低,远远低于CPU、网络的性能能力,因此系统设计的准则是追求HDD的性能最大化,为达到这个目标可以以消耗CPU等资源为代价。而到了NVMe时代,性能关系已经完全颠倒了,盘不再是瓶颈,反而CPU、网络成为系统的瓶颈。那种消耗CPU以优化IO的方法只能适得其反。 因此我们需要一套全新的存储系统架构,以充分发挥SSD的能力,提高系统的效率。PureFlash的设计思想以简化IO stack, 数据通路与控制通路分离,快速路径优先为基本原则,...
- 下一篇
Mesa 最新“RADV”驱动程序可为 Linux 上的赛博朋克 2077 提供光追功能
周四 Mesa 23.1 合并了一个最新 “RADV”驱动补丁: VK_EXT_pipeline_library_group_handles,这个补丁允许在 Linux 上的 3A 游戏 Cyberpunk 2077 享受光线追踪功能支持(使用 Steam Play / VKD3D-Proton 运行)。 RADV 联合领导 Bas Nieuwenhuizen 实现了这个 VK_EXT_pipeline_library_group_handles 支持补丁。该功能于 1 月份在 Vulkan 1.3.240 中首次引入,可帮助在 Vulkan API 上实现 DirectX 12 光线追踪 (DXR) 兼容性,最初是供 Valve 的 VKD3D-Proton 使用。 但当时利用该功能在 RADV 上的 Cyberpunk 2077 中启用光线追踪时,往往会导致崩溃。现最新 RADV 驱动补丁已修复了该问题,Bas 已将此 Bug 追踪标记为关闭状态。 虽然 Cyberpunk 2077 在这个开源 Radeon Vulkan 驱动程序上启用光线追踪时不会再崩溃,但目前性能...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- MySQL8.0.19开启GTID主从同步CentOS8