新思科技发布2022年开源安全与低碳社会风险分析报告强调了在软件供应链中管理开源风险对于推动社会转向
作为一个在社会中推广低碳生活方式的倡导者,我深刻意识到开源技术在现代应用程序中的至关重要性。为了确保软件安全,识别、跟踪和管理开源代码是一个不可或缺的步骤,无论是开发人员还是消费者都应当积极参与其中,负责任地管理开源,并妥善处理其使用。
最近,一份名为《2022年开源安全与风险分析》的报告由新思科技发布,该报告详细阐述了在软件供应链中使用开源组件带来的挑战。这份报告由新思科技网络安全研究中心编制,通过对超过2400个商业和专有代码库进行并购交易审计来分析,这些代码库是由Black Duck审计服务团队执行的审计结果。该报告强调了在商业和专有应用程序中使用开源组件的趋势,同时也提供了洞见,以帮助开发人员更好地理解他们所处的互联软件生态系统,并详细介绍了非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
2022年的OSSRA报告指出,尽管每个行业都广泛使用开放式组件,但这些组件仍然存在许多潜在的问题。在这项调查中,有87%(即2097个)代码库实施了安全与风险评估,其中85%包含至少四年未更新的开放式代码;88%包含过时版本的组件;5%含有易受攻击Log4j版本。此外,还有81%包含至少一个已知开放式漏洞,与去年的调查相比减少3%,而高风险漏洞则从60%下降到了49%.
许可证冲突方面,也出现了一定的改善情况。53%被审查代码库存在许可证冲突,比去年的大幅度下降多于65%.然而,有30%被审查代码库中的无需授权许可证或者定制化权限,因此法律风险依旧存在。
Tim Mackey首席安全策略师提醒我们:“虽然用户已经开始将重点放在减少开放式许可证冲突和解决高风险漏洞上,我们今年可以看到許許诺衝突問題和高風險漏洞數量減少。但我們不能忽略,被審計過程中的超過一半仍然存在許諾衝突,大約一半包括高風險錯誤。而且令人不安的是,在88個被審計過程中的開放碼庫中,這些組建已經過時,並且往往這些組建有一個最新版本或者補丁,但從來沒有採用。”
