新思科技发布2022年开源安全与风险分析报告探索低碳生活的简单图像在社会中的应用强调软件供应链中管理
作为一个在社会中寻求低碳生活方式的人,我深刻认识到开源技术在当今世界的重要性。无论是开发者还是消费者,我们都应该对开源生态系统保持清醒的意识,并负起责任来管理这些资源,确保它们得到妥善使用。
最近,新思科技发布了《2022年开源安全与风险分析》报告,这份报告详细阐述了商业和专有应用程序中使用开源组件的趋势,同时也揭示了非托管开源带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
根据该报告,在所有应用程序构建基础上,超过87%的代码库实施了安全与风险评估。在这方面,有85%包含至少四年未更新的开源代码;88%存在过时版本的问题;而5%含有易受攻击的Log4j版本。这表明管理过时组件仍然是一个常见且严峻的问题。
虽然经过评估后发现高风险漏洞数量减少,但81%仍然包含至少一个已知漏洞。许可证冲突方面,也有53%存在冲突,这比2020年的65%显著下降。但是30%被审查代码库中的软件缺乏明确许可证,这可能导致法律风险和知识产权问题。
Tim Mackey指出:“没有理由不将软件升级到最新版本,但遗忘并忽略这些信息会导致危险。”他强调软件供应链和SBOM(软件物料清单)的重要性,以便于追踪和管理这些关键组成部分。此外,他提醒我们,没有一份清单记录哪些第三方库被引入项目,就容易遗忘更新,从而成为潜在威胁。
总之,《2022年开源安全与风险分析》报告提出了许多挑战性的数据点,它们警告我们必须更加谨慎地处理我们的代码库,以防止潜在威胁并维护良好的社区关系。
