在“软件定义一切”的数字时代,日益普及的开源软件推动着业务发展,同时也存在开源管理的挑战。因此,有效地识别、追踪和管理开源代码对于成功的软件安全计划至关重要。企业需要了解关于开源使用的洞察,以帮助软件的开发者和使用者更好地了解开源生态系统以及如何对其进行负责任的管理。

新思科技(Synopsys, Nasdaq: SNPS) 近日发布了《2023年开源安全和风险分析》报告(2023 OSSRA)。该报告是OSSRA的第八个版本,由新思科技网络安全研究中心 (CyRC) 编制,分析了1,700 多项并购交易中涉及的商业和专有代码库的审计结果。该报告揭示了 17 个行业的开源使用趋势。

OSSRA 2023

OSSRA 2023

2023 OSSRA报告深入探讨了商业软件中开源安全、合规、许可证和代码质量风险的现状,以帮助安全、法律、风险和开发团队更好地把握开源安全和许可风险形势。今年的调查结果显示,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,较2022年调查结果增加了近4%。

企业想要降低来自开源、专有和商业代码的业务风险,首要就是构建其使用的所有软件的全面清单——软件物料清单 (SBOM),无论这些软件是来自何处或如何获取。企业只有拥有了完整的清单,才能制定战略以应对Log4Shell 等新的安全漏洞带来的风险。

新思科技软件质量与安全部门总经理 Jason Schmitt 表示:“2023 OSSRA 报告强调了开源是当今绝大部分软件构建的基础。在今年的审计中,开源组件的平均数量增加了 13%(从 528 增加到 595)。这个数据进一步凸显了实施全面的 SBOM 的重要性。SBOM列出了应用中的所有开源组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来理解和降低业务风险的基本策略。”

2023 OSSRA 报告的主要发现包括:

● 根据过去五年OSSRA报告的数据,开源采用率显著提高:这几年,教学更多地转向线上,师生在线互动增多,进而推动了教育软件的应用,开源组件的采用也大幅提升,增长了 163%;其它行业包括航空航天、汽车、运输和物流行业,开源的采用率激增了97%;制造业和机器人领域对开源的采用率增长了 74%。

● 过去五年,高风险漏洞增加速度惊人:自 2019 年以来,零售和电子商务行业的高风险漏洞激增了557%;物联网 (IoT) 领域,89%被审计的代码是开源,同时,高风险漏洞增加了 130%;同样,航空航天、汽车、运输和物流垂直领域的高风险漏洞增加了 232%。

● 与使用许可组件的企业相比,使用没有许可的开源组件会使企业面临更大的违反版权法的风险:报告发现,31% 的代码库使用没有可识别许可证或具有定制许可证的开源代码。这比去年的 OSSRA 报告增加了 55%;缺少与开源代码相关的许可证或其它开源许可证,可能会对被许可方提出非预期的要求,因此经常需要对潜在知识产权问题或其它影响进行法律评估。

● 可用的代码质量和安全补丁还未普遍应用于代码库:在经审计的1,480 个含风险评估的代码库中,91% 的代码库包含过时的开源组件。除非企业能够持续使用最新且准确的 SBOM,否则过时的组件可能会被遗忘,直到演变成为易受到高风险攻击的组件。

新思科技软件质量与安全部门安全解决方案高级经理 Mike McGuire 表示:“管理开源风险的关键是保持应用内容的完整可见性。基于可见性,将风险管理构建到应用生命周期中。企业可以凭借必需的信息武装自己,以便采取明智、及时的风险解决方案。企业在采用任何类型的第三方软件时都应该正确地假设它包含了开源。而验证这一点并控制相关风险就像获得 SBOM 一样简单——供应商可以轻松提供并采取必要步骤来保护其软件供应链。”

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-04-28 14:41:00
市场情报 新思科技:采用开源审计以降低许可证冲突风险
《2023年开源安全和风险分析》报告(OSSRA)被审计的代码库中,有96%含有开源代码,54%的代码库包含许可证冲突。 <详情>
2022-05-31 21:12:00
互联网 开源软件的2022年:风险常态化 or 新拐点
2022年,以灵活性、迭代速度、成本效益为驱动力,社区里的一群开发人员和科技企业依然凭热情、创新和持续贡献代码给开源注入新活力。 <详情>
2022-05-20 18:06:06
互联网 新思科技发布《2022年开源安全和风险分析》报告
开源许可证冲突和漏洞风险有所下降,但88%的被审代码库中包含未更新开源组件 <详情>
2021-07-14 16:58:00
国内资讯 2021 OSCAR 开源产业大会来了!八大亮点先睹为快
中国信息通信研究院将主办“2021 OSCAR 开源产业大会”,邀请百位开源领域技术专家共同探讨开源的未来。 <详情>
议程揭晓丨12月20日算力技术创新与应用系列论坛
2024-12-09 15:47:29
采访普洛斯数据中心郭仁声:智算时代 我们需要怎样的算力与数据中心
2024-12-09 11:44:05
5040机架 内蒙古云著智算产业园项目一期封顶
2024-12-06 14:24:19
马斯克超级计算集群再升级:xAI扩大GPU规模至百万
2024-12-06 14:21:34
未来10年的智算中心应该怎么建?|12月20日北京,AI算力建设系列论坛将启
2024-12-06 11:44:36
亚马逊发布超级计算机集群和新型AI芯片服务器
2024-12-05 14:54:16
12月20日北京,聚焦区域算力生态|2024算力产业生态高质量发展大会
2024-12-05 11:27:14
以用户需求为核心,科华数据领航高端定制数据中心新赛道
2024-12-04 15:52:50
英特尔CEO突然宣布退休 数据中心芯片竞争力不足或是主因
2024-12-04 10:12:00
莲花控股终止与新华三6.93亿订单:已自持700台算力服务器
2024-12-04 10:06:00
头部算力企业将悉数亮相、大咖云集,完整议程重磅公布|12月19-20日,北京,第十九届中国IDC产业年度大典重磅启幕
2024-12-04 09:54:00
总机柜1.8万个 兴业银行贵安新区数据中心开工
2024-12-03 10:07:00
SUSE推出一站式可观测性平台SUSE Cloud Observability 助力Rancher社区用户告别多工具监控
2024-11-28 15:19:38
800亿 17座数据中心落地马来西亚雪州
2024-11-28 14:53:32
5万机架 中国移动高原大数据中心(二期)开工
2024-11-28 14:47:35