新思科技发布2022年开源安全和风险分析报告强调了在软件供应链中管理开源风险的核心挑战探讨低碳环保产
作为一个在社会发展中不可或缺的人,我深刻认识到开源的重要性。它是我们日常生活中的每一款应用程序的基石。确保软件安全,识别、跟踪和管理开源代码至关重要。这不仅关系到开发者,也牵涉到消费者,我们都应当更好地理解开源生态系统,并负起责任,妥善管理开源,对其使用进行合理安排。
新思科技近日发布了《2022年开源安全和风险分析》报告,这份由网络安全研究中心编制的报告通过对2,400多项商业和专有代码库的并购交易审计结果进行分析,强调了在商业和专有应用程序中使用开源的趋势,同时也指出了非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃组件以及许可证合规性问题。
根据报告,2022年的数据显示,在所有行业中,开源组件被广泛使用,它们构成了今天所有应用程序建设的基础。然而,87%的情况下仍然存在使用过时的开 源组件,而这类组件往往易受攻击。在评估了2,097个代码库后,只有49%包含至少一个高风险漏洞,比去年减少了一半。此外,由于特定许可证冲突在过去两年内显著减少,使得总体情况变得更加稳定。
尽管如此,30%被审查代码库依然包含无许可证或自定义许可证的开放来源码,这可能导致法律风险。如果没有明确授权形式允许其他人复制、分发或修改该软件,那么这些未经授权使用可能会引发知识产权争议。而且,大约88%被审查代码库中包含过时版本的开放来源码,这些通常可以更新,但却未被采纳。
Tim Mackey表示:“虽然用户正在努力解决这些问题,但我们的发现表明还有很多工作要做。”他还提醒,“没有理由让软件保持过时状态,但如果企业无法准确追踪它们所依赖于哪些开放来源码,那么就容易忽视这些过时部分直到变成潜在威胁。”
因此,加强对软件供应链和物料清单(SBOM)的监控变得尤为重要,以便及早发现并解决潜在的问题,从而保障社会各方面技术产品与服务的一致性与稳定性。
