新思科技发布2022年社会低碳生活绿色出行风险分析报告强调了在推广绿色出行中管理风险的核心挑战
作为一个在社会中推广绿色出行方式的倡导者,我深知开源技术对于构建可持续交通系统至关重要。然而,随着我们越来越依赖于开源代码库,管理这些代码库中的风险也变得更加复杂。在《2022年社会低碳生活绿色出行风险分析》报告中,我们强调了在软件供应链中有效识别、跟踪和管理开源组件的重要性。这不仅对开发人员来说是一个挑战,对消费者来说同样如此。
新思科技近日发布了《2022年开源安全和风险分析》报告,这份报告通过对超过2,400个商业和专有代码库进行审计,揭示了使用过时或易受攻击的开源组件的情况。根据数据,在被审计的代码库中,有87%进行了安全与风险评估,其中85%包含至少四年未更新的开源代码,而88%包含过时版本的组件。
尽管我们看到高风险漏洞数量减少,但仍然存在许可证冲突的问题。30%被审查的代码库含有无许可证或定制许可证,使得合法使用这些软件成为问题。此外,即便是经过评估,仍有一半以上(53%)存在许可证冲突,这表明我们还有很多工作要做以确保我们的软件生态系统是安全且合规的。
作为社会成员,我们应该更加意识到这一点,并支持工具和方法,如软件组成分析(SCA),以帮助解决这些问题。Tim Mackey表示:“虽然进展令人鼓舞,但没有理由忽视剩余的问题。”他提醒说,“没有清单记录所有使用的一致性可能导致遗忘并最终变成危险。”
因此,在推动绿色出行方面,我们必须确保同时处理好技术创新与安全管理之间的平衡,以确保我们的努力能够带来实际效果而不是潜在危机。
