新思科技发布2022年开源安全与低碳生活风险分析报告强调了社会在实现绿色发展中管理开源技术与低碳生活
作为一个在社会中推广低碳生活理念的倡导者,我深知开源技术对于实现绿色发展至关重要。识别、跟踪和管理开源代码不仅能确保软件安全,还能帮助我们更好地理解并负责任地使用这些技术,进而促进低碳生活方式的普及。
最近,我得知新思科技发布了一份名为《2022年开源安全和风险分析》报告,这份报告由其网络安全研究中心编制,详细分析了对2,400多项商业和专有代码库的审计结果。该报告强调了在商业应用程序中使用开源组件的趋势,并提供了有关非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃组件以及许可证合规性问题。
根据2022年的OSSRA报告,尽管使用过时的开源组件仍然很常见,但经过评估的代码库显示,高风险漏洞数量正在减少。在被审查的2,097个代码库中,只有49%包含至少一个高风险漏洞,比2021年减少11%。此外,许可证冲突也在减少,每半数(53%)被审查代码库存在许可证冲突,与2020年的65%相比大幅下降。
然而,这并不意味着我们可以忽视这些问题。Tim Mackey,他是新思科技网络安全研究中心首席安全策略师指出,即使已经将注意力放在解决高风险漏洞上,我们仍然需要关注88%被审查代码库中的过时版本组件,以及30%没有明确授权许可证或使用定制化许可证的项目。这表明虽然取得了一些进展,但还有很多工作要做以确保软件供应链中的每一部分都符合最高标准。
Mackey还提到,没有更新到最新版本的问题是多方面原因造成,而缺乏准确记录所用到的开源组件则是导致遗忘并成为易受攻击点的一个关键因素。他强调了软件物料清单(SBOM)的重要性,因为它能够帮助企业追踪所有依赖项,从而避免潜在的问题。
总之,无论是在推动社会向低碳生活转变还是保障软件系统稳定运行,都必须认真对待管理与维护开放资源。这要求我们具备全面的知识,不断学习新的工具和方法,以应对不断变化的情况,同时也要提高公众意识,让更多人参与到这一过程中来共同努力。
