新思科技發(fā)布《2023年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告

——構(gòu)建全面的軟件物料清單是保衛(wèi)軟件供應(yīng)鏈安全的最佳防御

開(kāi)源代碼已經(jīng)深深扎根在現(xiàn)代軟件開(kāi)發(fā)之中，甚至代碼擁有者通常都不知道自己的軟件中包含開(kāi)源組件。開(kāi)源管理不到位，可能會(huì)給企業(yè)造成負(fù)面輿論，甚至導(dǎo)致經(jīng)濟(jì)損失。尤其在并購(gòu)交易中，雙方務(wù)必要及早了解目標(biāo)代碼庫(kù)中的潛在開(kāi)源風(fēng)險(xiǎn)、安全漏洞和代碼質(zhì)量問(wèn)題。盡管2022年經(jīng)濟(jì)走勢(shì)不明朗，科技領(lǐng)域的并購(gòu)也相應(yīng)放緩，但經(jīng)過(guò)新思科技審計(jì)的代碼庫(kù)數(shù)量依然可觀。

新思科技(Synopsys, Nasdaq: SNPS) 近日發(fā)布了《2023年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告(2023 OSSRA)。該報(bào)告是OSSRA的第八個(gè)版本，由新思科技網(wǎng)絡(luò)安全研究中心 (CyRC) 編制，分析了1,700 多項(xiàng)并購(gòu)交易中涉及的商業(yè)和專(zhuān)有代碼庫(kù)的審計(jì)結(jié)果。該報(bào)告揭示了 17 個(gè)行業(yè)的開(kāi)源使用趨勢(shì)。

2023 OSSRA報(bào)告深入探討了商業(yè)軟件中開(kāi)源安全、合規(guī)、許可證和代碼質(zhì)量風(fēng)險(xiǎn)的現(xiàn)狀，以幫助安全、法律、風(fēng)險(xiǎn)和開(kāi)發(fā)團(tuán)隊(duì)更好地把握開(kāi)源安全和許可風(fēng)險(xiǎn)形勢(shì)。今年的調(diào)查結(jié)果顯示，絕大多數(shù)代碼庫(kù) (84%) 至少包含一個(gè)已知的開(kāi)源漏洞，較2022年調(diào)查結(jié)果增加了近 4%。

企業(yè)想要降低來(lái)自開(kāi)源、專(zhuān)有和商業(yè)代碼的業(yè)務(wù)風(fēng)險(xiǎn)，首要就是構(gòu)建其使用的所有軟件的全面清單——軟件物料清單 (SBOM)，無(wú)論這些軟件是來(lái)自何處或如何獲取。企業(yè)只有擁有了完整的清單，才能制定戰(zhàn)略以應(yīng)對(duì)Log4Shell 等新的安全漏洞帶來(lái)的風(fēng)險(xiǎn)。

新思科技軟件質(zhì)量與安全部門(mén)總經(jīng)理 Jason Schmitt 表示：“2023 OSSRA 報(bào)告強(qiáng)調(diào)了開(kāi)源是當(dāng)今絕大部分軟件構(gòu)建的基礎(chǔ)。在今年的審計(jì)中，開(kāi)源組件的平均數(shù)量增加了 13%（從 528 增加到 595）。這個(gè)數(shù)據(jù)進(jìn)一步凸顯了實(shí)施全面的 SBOM 的重要性。SBOM列出了應(yīng)用中的所有開(kāi)源組件及其許可證、版本、和補(bǔ)丁狀態(tài)。這是通過(guò)抵御軟件供應(yīng)鏈攻擊來(lái)理解和降低業(yè)務(wù)風(fēng)險(xiǎn)的基本策略?！?/p>

2023 OSSRA 報(bào)告的主要發(fā)現(xiàn)包括：

· 根據(jù)過(guò)去五年OSSRA報(bào)告的數(shù)據(jù)，開(kāi)源采用率顯著提高：這幾年，教學(xué)更多地轉(zhuǎn)向線(xiàn)上，師生在線(xiàn)互動(dòng)增多，進(jìn)而推動(dòng)了教育軟件的應(yīng)用，開(kāi)源組件的采用也大幅提升，增長(zhǎng)了 163%；其它行業(yè)包括航空航天、汽車(chē)、運(yùn)輸和物流行業(yè)，開(kāi)源的采用率激增了97%；制造業(yè)和機(jī)器人領(lǐng)域?qū)﹂_(kāi)源的采用率增長(zhǎng)了 74%。

· 過(guò)去五年，高風(fēng)險(xiǎn)漏洞增加速度驚人：自 2019 年以來(lái)，零售和電子商務(wù)行業(yè)的高風(fēng)險(xiǎn)漏洞激增了557%；物聯(lián)網(wǎng) (IoT) 領(lǐng)域，89%被審計(jì)的代碼是開(kāi)源，同時(shí)，高風(fēng)險(xiǎn)漏洞增加了 130%；同樣，航空航天、汽車(chē)、運(yùn)輸和物流垂直領(lǐng)域的高風(fēng)險(xiǎn)漏洞增加了 232%。

· 與使用許可組件的企業(yè)相比，使用沒(méi)有許可的開(kāi)源組件會(huì)使企業(yè)面臨更大的違反版權(quán)法的風(fēng)險(xiǎn)：報(bào)告發(fā)現(xiàn)，31% 的代碼庫(kù)使用沒(méi)有可識(shí)別許可證或具有定制許可證的開(kāi)源代碼。這比去年的 OSSRA 報(bào)告增加了 55%；缺少與開(kāi)源代碼相關(guān)的許可證或其它開(kāi)源許可證，可能會(huì)對(duì)被許可方提出非預(yù)期的要求，因此經(jīng)常需要對(duì)潛在知識(shí)產(chǎn)權(quán)問(wèn)題或其它影響進(jìn)行法律評(píng)估。

· 可用的代碼質(zhì)量和安全補(bǔ)丁還未普遍應(yīng)用于代碼庫(kù)：在經(jīng)審計(jì)的1,480 個(gè)含風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，91% 的代碼庫(kù)包含過(guò)時(shí)的開(kāi)源組件。除非企業(yè)能夠持續(xù)使用最新且準(zhǔn)確的 SBOM，否則過(guò)時(shí)的組件可能會(huì)被遺忘，直到演變成為易受到高風(fēng)險(xiǎn)攻擊的組件。

新思科技軟件質(zhì)量與安全部門(mén)安全解決方案高級(jí)經(jīng)理 Mike McGuire 表示：“管理開(kāi)源風(fēng)險(xiǎn)的關(guān)鍵是保持應(yīng)用內(nèi)容的完整可見(jiàn)性。基于可見(jiàn)性，將風(fēng)險(xiǎn)管理構(gòu)建到應(yīng)用生命周期中。企業(yè)可以憑借必需的信息武裝自己，以便采取明智、及時(shí)的風(fēng)險(xiǎn)解決方案。企業(yè)在采用任何類(lèi)型的第三方軟件時(shí)都應(yīng)該正確地假設(shè)它包含了開(kāi)源。而驗(yàn)證這一點(diǎn)并控制相關(guān)風(fēng)險(xiǎn)就像獲得 SBOM 一樣簡(jiǎn)單——供應(yīng)商可以輕松提供并采取必要步驟來(lái)保護(hù)其軟件供應(yīng)鏈?！?/p>

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。