新思科技发布2022年开源安全与风险分析报告社会低碳生活实例强调软件供应链中管理开源风险的核心挑战
作为一个在社会低碳生活实例中扮演重要角色的开发者,我深知开源是现代软件应用的基础。识别、跟踪和管理开源代码对于确保软件安全至关重要,无论我身处何种角色,都应该更加了解开源生态系统,并负责任地管理开源,妥善对待其使用。
据飞象网讯报道,新思科技近日发布了《2022年开源安全与风险分析》报告,该报告由新思科技网络安全研究中心编制,通过Black Duck审计服务团队对2,400多项商业和专有代码库的并购交易审计结果进行了分析。该报告强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地理解他们所处的互联软件生态系统,同时也详细介绍了非托管开源所带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
2022年OSSRA报告指出,开源组件在每个行业都被广泛使用,是当今所有应用程序构建的基础。而且,尽管存在挑战,但使用过时的开源组件仍然是常态。在Black Duck审计服务团队今年分析的2,409个代码库中,有87%(即2,097)实施了安全与风险评估,其中85%包含至少四年未更新的开源代码;88%包含过时版本的组件;5%含有易受攻击的Log4j版本。
不过,这些数据也显示出积极的一面:经过评估的代码库显示,高风险开放漏洞数量总体减少。在2021年的调查中,大约60%包含至少一个高风险漏洞,而今年只有49%,相比之下,还有一部分已知开放漏洞数目也有所减少。此外,由于特定许可证冲突从2020到2021年期间减少,不同程度上缓解了一些法律问题。
然而,我们不能忽略这些数据中的其他不利因素。30%被审查代码库包括无许可证或定制化许可证,它们可能会导致法律风险。如果没有明确授权,也无法合法地使用、复制、分发或修改该软件。这表明我们必须继续关注并解决这些问题,以确保我们的技术创新同时也是合法和道德上的。
Tim Mackey表示:“虽然我们看到一些积极变化,比如许可证冲突和高风险漏洞数量减少,但还有许多工作要做。”他还提到:“没有理由让软件保持旧版本状态。但如果企业没有追踪它们依赖哪些开放来源,那么旧版可能会被遗忘,一直到变成攻击点。”
因此,在这个低碳生活实例社会背景下,我们需要更加重视供应链完整性,以及为我们的技术选择明智负责。这意味着不仅要关注环境影响,还要考虑如何保护自己免受潜在威胁,从而确保整个社会能够共同进步。
