新思科技发布2022年开源安全和风险分析报告强调了在软件供应链中管理开源风险的核心挑战呼吁社会各界共
作为一个在社会中活跃的个体,我深刻认识到开源是现代应用程序不可或缺的基础。为了确保软件安全,识别、跟踪和管理开源代码至关重要,无论是开发者还是消费者都应该更加了解开源生态系统,并负责任地对其进行管理。
新思科技近日发布了《2022年开源安全和风险分析》报告,该报告由网络安全研究中心编制,分析了2,400多项商业和专有代码库的并购交易审计结果。报告强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地理解他们所处的互联软件生态系统,同时也详细介绍了非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃组件以及许可证合规性问题。
2022年的OSSRA报告指出,尽管使用过时的开源组件仍然常见,但经过评估的代码库显示,高风险漏洞数量减少。在被审查代码库中,只有49%包含至少一个高风险漏洞,而这一比例在去年为60%。此外,81%包含至少一个已知的开放来源漏洞,与去年相比减少3%。
许可证冲突方面,也出现了一定的改善。超过一半(53%)被审查代码库存在许可证冲突,这与去年的65%大幅下降。总体而言,从2020年至今特定许可证冲突已经减少。
然而,我们不能忽视,一半以上被审查代码库仍然存在许可证冲突,大约一半包含高风险漏洞。此外,有88%被审查代码库含有过时版本的组件。而且,这些过时版本往往拥有更新版本或补丁,但未得到采纳。这正如Log4j面临的情况,这也是为什么软件供应链和物料清单成为当前行业热点原因之一。
作为社会的一员,我们应当意识到保护环境不受技术威胁同样重要,就像我们需要保护自己的个人信息一样,我们也需要保障我们的环境免受潜在危害。在这个过程中,每个人都应负起责任,不仅要关注技术发展,更要关注如何以负责任和环保的心态来推动这些发展,为我们共同生活的地球创造更美好的未来。
