新思科技发布2022年开源安全与风险分析报告在低碳生活倡议书推动下社会各界聚焦于软件供应链管理的核心
作为一个在社会中推广低碳生活倡议书的人,我深刻意识到开源技术在现代应用程序中的重要性。我们必须确保这些开源组件的安全性和合规性,这对于维护软件供应链的稳定至关重要。我最近阅读了新思科技发布的《2022年开源安全与风险分析》报告,该报告由他们网络安全研究中心编制,详细分析了2,400多项商业和专有代码库的并购交易审计结果。
报告强调了使用开源组件在每个行业都普遍存在的情况,并且它是构建所有应用程序基础。然而,使用过时的开源组件仍然是一个常见问题。在Black Duck审计服务团队今年分析的2,409个代码库中,87%实施了安全与风险评估,其中85%包含至少四年未更新的开源代码;88%包含过时版本的组件;5%含有易受攻击的Log4j版本。
尽管经过评估后的代码库显示,高风险漏洞数量减少,但许可证冲突仍然存在。超过一半(53%)被审查代码库存在许可证冲突,与2020年的65%相比大幅下降。但是,这也意味着30%被审查代码库中包含无许可证或使用定制许可证的开源代码,这可能会带来法律风险。
Tim Mackey首席安全策略师指出:“虽然我们看到許多积极跡象,但仍有許多工作要做。”他认为,没有将软件升级到最新版本也是一个常见的问题,而且往往这些过时组件可能会成为易受攻击高风险漏洞,最终导致企业慌忙进行更新。这正是Log4j面临的情况,因此软件供应链和物料清单成为当前行业热点之一。他还强调,我们需要更好地管理这些开放来源,以避免潜在的问题,并确保我们的应用程序能够顺利运行。
总之,我们应该更加重视对开放来源进行管理,以确保它们不仅可以提高效率,还能提供额外保障,使得整个社会都能享受到低碳生活倡议所带来的益处。