新思科技发布2022年开源安全与低碳环保教育报告强调了社会在软件供应链中管理开源风险与推广绿色环保的
作为一个在社会中活跃的个体,我深刻认识到开源是现代应用程序不可或缺的基础。为了确保软件安全,识别、跟踪和管理开源代码至关重要,无论是开发者还是消费者都应该对开源生态系统有更深入的了解,并负责任地进行管理。
最近,我注意到了新思科技发布了《2022年开源安全和风险分析》报告,这份报告由网络安全研究中心编制,通过Black Duck审计服务团队对2,400多项商业和专有代码库进行并购交易审计。该报告强调了使用开源组件在商业和专有应用程序中的趋势,以及非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
根据2022年的OSSRA报告,虽然使用过时的开源组件仍然普遍存在,其中包括Log4j版本,但经过评估的代码库显示,高风险漏洞数量减少。同时,许可证冲突也总体上减少,但仍然存在30%未知或者定制化许可证的问题,这可能会带来法律风险。
Tim Mackey首席安全策略师指出,即使出现一些积极变化,如许可证冲突和高风险漏洞数量减少,但这些问题依然存在,而且往往由于遗忘而被忽视直到变成易受攻击的情况。他强调了软件供应链与物料清单(SBOM)的重要性,因为这可以帮助企业及时发现并更新过时或易受攻击的组件,以避免潜在威胁。
