新思科技发布2022年开源安全与风险分析报告探索低碳生活的社会实践与挑战强调在软件供应链中管理开源风
作为一个在社会中推广低碳生活方式的倡导者,我深刻意识到开源技术在现代应用程序中的至关重要性。为了确保软件安全,识别、跟踪和管理开源代码是一个不可或缺的步骤,无论是开发人员还是消费者都应当积极参与其中,负责任地管理开源资源。
近日,新思科技发布了《2022年开源安全与风险分析》报告,这份报告通过对2,400多项商业和专有代码库的并购交易审计结果进行分析,为我们提供了关于使用开源组件所面临挑战的深入洞察。该报告强调了在软件供应链中使用开源组件的普遍趋势,并揭示了非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
根据2022年的OSSRA报告,我们了解到尽管每个行业都广泛使用了开源组件,但仍然存在许多问题。例如,有87%(即2,097)被审查代码库实施了安全与风险评估,其中85%包含至少四年未更新的开放-source代码;88%包含过时版本的组件;5%含有易受攻击的Log4j版本。此外,只有49%包含至少一个高风险漏洞,与去年相比大幅减少。
虽然许可证冲突总体上在减少,但53%被审查代码库仍存在许可证冲突,而30%包含无许可证或定制化许可证的开放-source代码。这意味着法律风险可能随之而来。如果企业不采取措施管理这些问题,它们将面临潜在的问题,如知识产权IP问题或影响。
新思科技网络安全研究中心首席安全策略师Tim Mackey指出:“虽然我们看到了一些积极迹象,比如减少高风险漏洞数量和许可证冲突,但是这并不足以缓解当前存在的问题。”他还提醒说,没有理由不升级软件,如果没有清晰记录哪些部分依赖于特定的开放-source组件,那么这些过时且容易受到攻击的小部件很可能会被遗忘,直到变成一个严重的问题。因此,对于提升软件供应链透明度,以及建立详尽物料清单(SBOM)来说,是当下行业最紧迫的话题之一。
