新思科技发布2022年开源安全与低碳生活照片真实点分析报告强调了社会中管理开源风险的核心挑战
作为一个在社会中活跃的个体,我深刻认识到开源是现代应用程序不可或缺的基础。为了确保软件安全,识别、跟踪和管理开源代码至关重要,无论我是开发者还是普通用户,都应当更好地理解开源生态系统,并负责任地对待它。
不久前,新思科技发布了《2022年开源安全与风险分析》报告,这份报告由其网络安全研究中心编制,通过对2,400多项商业和专有代码库进行审计,为我们提供了宝贵见解。这份报告强调了使用开源组件在各行各业的普遍趋势,以及非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
根据2022年的OSSRA报告,我们可以看到,使用过时的开源组件仍然很常见,其中包括易受攻击的Log4j版本。在被审计的2,409个代码库中,有87%实施了安全与风险评估,其中85%包含至少四年未更新的开源代码,而88%包含过时版本的组件,5%含有易受攻击的Log4j版本。
然而,这份报告也指出,在经过评估后的代码库中,高风险漏洞数量减少了一半,从60%降至49%,而已知漏洞数量也从81%减少到了78%. 许可证冲突方面,也出现了显著下降,从65%降至53%.
尽管这些数据表明我们正在朝着更好的方向迈进,但Tim Mackey首席安全策略师提醒我们,还有许多工作要做。他说:“没有将软件升级到最新版本有很多理由,但如果企业没有一份清单来追踪他们在项目中的每一个open-source依赖,那么这些旧版就容易被遗忘——直到变成一个危险漏洞,然后才慌忙去查找并修复。”
Mackey还指出,“没有软件物料清单(SBOM)的情况下,对于企业来说,将会面临更多挑战。”他认为,不仅需要对现有的工具进行改进,还需要推动整个行业标准化,以便更好地管理和维护我们的软件供应链。
