新思科技发布2022年开源安全与低碳生活社会风险分析报告强调在软件供应链中管理开源风险的核心挑战
作为一个在社会中推广低碳生活理念的活动参与者,我深刻意识到开源技术在现代应用程序中的重要性。为了确保软件安全,我们需要对开源代码进行有效的识别、跟踪和管理。这不仅是开发者的责任,也是消费者的义务。我们必须更好地理解开源生态系统,并负起责任,妥善管理这些资源。
新思科技近日发布了《2022年开源安全和风险分析》报告,该报告通过分析商业和专有代码库中的开源使用情况,为开发人员提供了宝贵的见解。此报告强调了在软件供应链中使用开源组件的普遍趋势,并指出了非托管开源可能带来的安全隐患,如安全漏洞、过时或废弃的组件以及许可证合规性问题。
根据报告,尽管过去一年内发现的高风险漏洞数量有所减少,但仍存在大量未更新且易受攻击的组件问题。在被审计代码库中,有85%包含至少四年未更新的开源代码,而88%包含过时版本的组件。此外,还有一些项目含有易受攻击的Log4j版本,这个问题至今依然存在。
此外,许可证冲突也是一个值得关注的问题。虽然与去年的数据相比出现了一定的下降,但仍有53%被审查代码库存在许可证冲突。这意味着许多项目没有明确规定如何允许其他人使用、复制、分发或修改其软件,这可能会导致法律风险。
Tim Mackey,新思科技网络安全研究中心首席安全策略师提醒我们,即使已经采取措施来减少许可证冲突和解决高风险漏洞,但仍需警惕这些潜在的问题。他强调,没有清晰记录哪些组件用于何处,以及何时进行更新,使得过时或者容易受到攻击的问题很难得到及时处理,从而成为企业面临的一个重大挑战。他认为,建立详尽的人物清单(SBOM)对于防范这样的问题至关重要,以便能够准确地追踪并更新所有涉及到的开放式材料。
