新思科技发布2022年社会低碳生活绿色环保开源安全与风险分析报告强调在软件供应链中管理开源风险的核心
作为一个社会成员,我深刻认识到开源是现代应用程序的基石。确保软件安全,尤其是在开源代码管理上,是我们每个人的责任。新思科技近日发布了《2022年开源安全与风险分析》报告,这份报告详细阐述了在软件供应链中使用开源组件的趋势,并揭示了非托管开源带来的潜在安全风险,如漏洞、过时或废弃的组件以及许可证合规性问题。
据该报告显示,尽管存在一些挑战,但整体来看,我们正在朝着更安全和更加透明的方向前进。在过去的一年里,使用过时的开源组件仍然是一个普遍现象,其中87%的代码库包含至少四年未更新的开源代码,而88%包含过时版本的组件。此外,还有5%含有易受攻击的Log4j版本。
虽然高风险漏洞数量减少,但仍旧存在49%代码库中至少含有一处高风险漏洞,这提醒我们必须继续提高警惕。同时,许可证冲突也在逐渐减少,不过30%被审查代码库依然包括无许可证或定制化许可证的情况,这可能导致法律风险。
Tim Mackey表示:“虽然取得了一些进展,但我们不能忽视这些问题。”他强调了软件升级至最新版本以及维护清晰物料清单(SBOM)的重要性,以避免遗忘并面临潜在威胁。这也是为什么软件供应链和SBOM成为行业关注焦点的一个原因。他指出:“没有理由不将软件升级到最新版本,但是如果企业没有准确列明其使用中的所有开源组件,那么这些过时部分就可能被遗忘直到变成一个易受攻击的问题。”
总之,我们需要持续关注这些建议,并采取行动以保护我们的数字世界,使其更加安全、绿色环保和低碳生活,为社会创造一个更加健康和谐的地球环境。
