看不見?請點選 網路版本

新思科技(Synopsys,Nasdaq:SNPS)近日發佈了《2021年開源安全和風險分析》報告(OSSRA)。該報告由新思科技網路安全研究中心(CyRC)製作,研究了由BlackDuck®審計服務團隊執行的對超過1,500個商業代碼庫的審計結果。報告重點介紹了在商業應用程式中開源應用的趨勢,並且提供了見解,以幫助企業和開源開發者更好地了解他們所處的互聯軟體生態系統。這份報告也詳細地介紹了非託管開源所帶來的安全隱患,包括安全漏洞、過期或廢棄的元件以及許可證合規性問題。


2021年OSSRA報告強調,開源是所有行業絕大多數應用程式的基礎,但同時他們也在費盡心思去管理開源風險。

口 所有經過審計的行銷科技類公司的代碼庫都包含開源,包括CRM客戶關係管理系統及社交媒體。其中95%的行銷科技代碼庫存在開源漏洞。
口 98%的醫療保健行業代碼庫包含開源,其中有67%的代碼庫存在漏洞。
口 97%的金融服務/金融科技行業代碼庫包含開源,其中超過60%的代碼庫存在漏洞。
口 92%的零售和電子商務行業代碼庫包含開源,其中71%的代碼庫存在漏洞。

更令人擔憂的是廢棄開源元件仍在被廣泛使用。高達91%的代碼存在開源依賴項,這些開源元件在過去兩年內沒有任何開發活動、沒有進行代碼改進,也沒有任何安全修復。

新思科技網路安全研究中心首席安全策略師Tim Mackey表示:「超過90%的代碼庫使用了在過去兩年沒有發生任何開發活動的開源元件,這不足為奇。 與供應商能直接將資訊推送給使用者的商業軟體不同,開源更需要社區參與才能蓬勃發展。如果沒有社區參與,企業就將開源元件用於商業軟體,專案活力很容易減弱。廢棄專案不是新問題,但是當它們出現時,解決安全問題變得更加困難。解決方案很簡單,投資那些利於業務成功的專案。」

2021年OSSRA報告中提及的其它開源風險包括:
口 商業軟體中過時的開源元件已成常態
85% 的代碼庫含有至少四年未曾更新的開源依賴項。與廢棄專案不同,這些過時的開源元件擁有活躍的開發人員,但是他們發佈的更新及安全補丁卻沒有被下游商業消費者所採用。除了忽略應用補丁會帶來的明顯安全隱患之外,使用過時的開源元件還可能帶來技術上的麻煩,包括與將來更新相關的功能問題和相容性問題。
口 開源漏洞趨勢朝著錯誤的方向發展
2020年,包含存在漏洞的開源元件的代碼庫百分比為84%,較2019年上漲了9%。 同樣,包含高風險漏洞的代碼庫的百分比從49%上升至60%。 2020年的審計中再次發現了2019年在代碼庫中發現的幾個十大開源漏洞,並且所有這些漏洞的百分比均有顯著增加。
口 過90%經審計的代碼庫含有許可證衝突、自定義許可證或根本沒有許可證的開源元件
2020年審計的代碼庫中,65%包含存在許可證衝突的開源元件,通常涉及"GNU通用公共許可證"。26%的代碼庫採用沒有許可證或定製許可證的開原始程式碼。這三種問題有潛在的侵權和其它法律風險,通常需要進行評估,尤其涉及到合併和收購交易的時候。
如有興趣請參考下面連結及下載2021年OSSRA報告,瞭解更多關於開源軟體潛在風險和解決方案的資訊。
口新聞稿原文參考 口OSSRA中文報告 口OSSRA英文報告 口Black Duck產品介紹

如您想對該產品或其他相關產品做進一步的瞭解,請聯絡吉康科技 周均達, 安排進一步的說明及洽談
聯絡電話:(02)29173201 分機 312 手機:0978 111 286 Email: adam@gcomtw.com