新思科技发布2022年开源安全和风险分析报告强调了在软件供应链中管理开源风险的核心挑战呼吁社会各界关
作为一个普通的网民,我深知开源在现代社会中所扮演的重要角色。它是我们每日使用的应用程序不可或缺的一部分。因此,确保这些开源代码安全、合规,对于我们每个人都至关重要,无论你是一个开发者还是一个简单的用户。
最近,我注意到新思科技发布了一份名为《2022年开源安全和风险分析》报告(OSSRA)。这个报告由他们网络安全研究中心编制,通过对超过2400个商业和专有代码库进行并购交易审计来揭示了使用开源组件在软件供应链中的普遍现象,并且提供了关于非托管开源带来的潜在风险——包括安全漏洞、过时或废弃的组件以及许可证合规性问题——的深入分析。
根据这份报告,2022年的数据显示,在所有行业中,开源组件被广泛采纳,它们构成了当今所有应用程序基础。在这2390个被审计代码库中,有87%实施了风险评估,而从维护角度来看,其中85%包含至少四年未更新的开源代码;88%包含过时版本的组件;5%含有易受攻击的Log4j版本。
值得一提的是,这些数字与去年的相比出现了一定的改善。今年被审查代码库中的高风险漏洞数量减少到了49%,而过去一年则达到60%。此外,许可证冲突的问题也显著下降,从65%下降到了53%.
然而,这份报告也指出30%以上存在无许可证或者定制化许可证的情况,这可能会导致法律上的不确定性。如果没有明确允许其他人使用、复制、分发或修改该软件,那么这种情况就可能引发法律问题。而定制化权限可能会带来额外压力,因此通常需要对知识产权IP问题进行评估。
Tim Mackey,一位首席安全策略师,也提醒我们:“虽然已经取得进步,但仍然有很多工作要做。”他强调,没有理由不升级到最新版本,但如果没有清晰记录哪些是用到的开放式组件,那么它们很容易被遗忘直到变成高风险漏洞。他认为,“这是为什么软件供应链和物料清单成为当前热点的一个原因。”
总之,我们必须更加重视管理我们的开放式项目,以防止潜在威胁并保持系统稳定。这就是为什么我呼吁大家关注环保教育,小学生环保照片大全图片展示绿色行动精神,让我们的行为能够保护地球,同时也能提高对技术挑战意识,为更好的未来做准备。
