Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告,该报告由 Synopsys 网络安全研究中心(CyRC)制作,研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。重点介绍了商业应用程序中开源使用的趋势和模式,并提供了见解和建议,以帮助组织从安全性,许可证合规性和运营角度更好地管理开源风险。
该报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中几乎所有(99%)的经审核代码库均至少包含一个开源组件,其中开源代码占总体代码的70%。然而更值得注意的是,老化或废弃的开源组件的继续广泛使用,其中 91% 的代码库包含的组件已经过时四年以上,或者在过去两年中没有开发活动。
此外,更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75% 包含具有已知安全漏洞的开源组件;同时,几乎一半(49%)的代码库包含高风险漏洞;两者比例都实现了同比增长。
Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 表示:“很难否认开源软件在现代软件开发和部署中扮演的重要角色,但是很容易从安全和许可证合规性的角度忽略开源软件如何影响您的应用程序风险态势。”2020 OSSRA 报告强调了组织如何继续努力有效地跟踪和管理其开源风险。 维护包括开放源代码依赖项在内的第三方软件组件的准确清单,并使其保持最新状态,是从多个层面解决应用程序风险的关键起点。”
2020 OSSRA 报告中一些值得关注的开源风险趋势总结如下:
想要了解更多详细信息,可下载 2020 OSSRA 报告副本。
评论删除后,数据将无法恢复
2020 OSSRA 报告:91 % 的商业 App 包含过时或废弃的开源组件
Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告,该报告由 Synopsys 网络安全研究中心(CyRC)制作,研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。重点介绍了商业应用程序中开源使用的趋势和模式,并提供了见解和建议,以帮助组织从安全性,许可证合规性和运营角度更好地管理开源风险。
该报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中几乎所有(99%)的经审核代码库均至少包含一个开源组件,其中开源代码占总体代码的70%。然而更值得注意的是,老化或废弃的开源组件的继续广泛使用,其中 91% 的代码库包含的组件已经过时四年以上,或者在过去两年中没有开发活动。
此外,更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75% 包含具有已知安全漏洞的开源组件;同时,几乎一半(49%)的代码库包含高风险漏洞;两者比例都实现了同比增长。
Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 表示:“很难否认开源软件在现代软件开发和部署中扮演的重要角色,但是很容易从安全和许可证合规性的角度忽略开源软件如何影响您的应用程序风险态势。”2020 OSSRA 报告强调了组织如何继续努力有效地跟踪和管理其开源风险。 维护包括开放源代码依赖项在内的第三方软件组件的准确清单,并使其保持最新状态,是从多个层面解决应用程序风险的关键起点。”
2020 OSSRA 报告中一些值得关注的开源风险趋势总结如下:
想要了解更多详细信息,可下载 2020 OSSRA 报告副本。