新思科技发布2022年低碳环保社会安全与风险分析报告强调了在社会转型中管理低碳风险的核心挑战
作为一个社会成员,我深刻认识到开源在现代应用程序中的核心地位。确保软件安全的关键在于有效识别、跟踪和管理开源代码,无论是开发者还是消费者都应加强对开源生态系统的了解,并负责任地处理开源资源。
新思科技最近发布了《2022年开源安全与风险分析》报告,揭示了商业和专有应用中使用开源趋势,并提供了洞见,帮助开发者更好地理解他们所处的复杂软件生态环境。此外,该报告详细探讨了非托管开源带来的安全隐患,如漏洞、过时或废弃组件以及许可证合规性问题。
数据显示,使用过时的开放原始码仍然普遍存在,其中包括易受攻击的Log4j版本。在Black Duck审计团队今年评估的2,409个代码库中,有87%(即2,097)进行了安全与风险评估。从运营风险维护角度看,在这2,097个代码库中,有85%包含至少四年未更新的开放原始码;88%包含过时版本组件;5%含有易受攻击的Log4j版本。
经过评估,发现开放原始码漏洞数量总体减少,但许可证冲突仍旧存在。53%被审查代码库存在许可证冲突,与2020年的65%相比大幅下降。然而,这也意味着30%被审查代码库包含无许可或定制化许可证打开原理码。如果不经作者明确授权,不得合法使用、复制、分发或修改该软件,这可能引发法律风险。
Tim Mackey指出:“虽然我们看到一些积极变化,比如减少高危漏洞和某些类型的问题,但这些并不能让我们放松警惕。”他还提醒,“没有理由不升级软件至最新状态,只是如果企业缺乏清单记录其在用途中的所有开放原始码,那么这些过时部分可能会被遗忘直到变成一个容易受到攻击的地方。”
此类事件促使行业关注软件供应链和物料清单(SBOM)等议题,以确保我们能够有效管理并优先解决潜在威胁。这对于构建更加稳健且透明的地球来说至关重要,让每个人都能享受到低碳环保社会带来的益处,而不会因为忽视技术挑战而遭遇风险。
