新思科技(Synopsys,Nasdaq:SNPS)近日發佈了《2021年開源安全和風險分析》報告(OSSRA)。該報告由新思科技網路安全研究中心(CyRC)製作,研究了由BlackDuck®審計服務團隊執行的對超過1,500個商業代碼庫的審計結果。報告重點介紹了在商業應用程式中開源應用的趨勢,並且提供了見解,以幫助企業和開源開發者更好地了解他們所處的互聯軟體生態系統。這份報告也詳細地介紹了非託管開源所帶來的安全隱患,包括安全漏洞、過期或廢棄的元件以及許可證合規性問題。
2021年OSSRA報告強調,開源是所有行業絕大多數應用程式的基礎,但同時他們也在費盡心思去管理開源風險。
更令人擔憂的是廢棄開源元件仍在被廣泛使用。高達91%的代碼存在開源依賴項,這些開源元件在過去兩年內沒有任何開發活動、沒有進行代碼改進,也沒有任何安全修復。
新思科技網路安全研究中心首席安全策略師Tim Mackey表示:「超過90%的代碼庫使用了在過去兩年沒有發生任何開發活動的開源元件,這不足為奇。 與供應商能直接將資訊推送給使用者的商業軟體不同,開源更需要社區參與才能蓬勃發展。如果沒有社區參與,企業就將開源元件用於商業軟體,專案活力很容易減弱。廢棄專案不是新問題,但是當它們出現時,解決安全問題變得更加困難。解決方案很簡單,投資那些利於業務成功的專案。」