Synopsys 公司发布了 2021 年开源安全和风险分析(OSSRA)报告。该报告由 Synopsys 网络安全研究中心(CyRC)制作,揭露了在 17 个行业的 1500 多个代码库中发现的漏洞和许可证冲突。重点介绍了商业应用程序中开源使用的趋势和模式,并提供了见解和建议,以帮助商业和开源开发人员更好地了解他们所处的相互关联的软件生态系统,以及伴随着开源开发和使用的风险。
报告指出,开源软件的使用量正在与日俱增;不过与此同时,漏洞的数量也在同步增长。调查结果显示,到 2020 年,包含易受攻击的开源组件的代码库的百分比升至 84%,相较前一年增张了 9%,这是该报告六年来的第二高同比增幅。该趋势表明,越来越多的软件在各行各业都面临着风险。
而包含高风险漏洞的代码库的百分比也从 49% 跃升至 60%,同比增长了 11%;其中大多数漏洞在代码中存在了两年以上,并有记录在案的解决方案。2019 年在代码库中发现的前 10 大开源漏洞中,有几个在 2020 年的审计中再次出现,且百分比都有显著增加。
报告称,开源软件为所有行业的绝大多数应用提供了基础,但同时,这些行业也都在不同程度上承受着开源风险。在过去的一年里,受疫情影响,一些行业的收入呈现出了指数级的增长。报告揭示了这些行业与开源软件在其应用程序中的使用以及漏洞之间的相关性指出,在收入快速增长的同时,这些高增长行业的漏洞和高风险漏洞数量也是最多。
此外,有超过 90% 的审计代码库中至少有一个开放源码组件存在许可证冲突、定制许可证或根本没有许可证。还有一个值得注意的点是:废弃开源组件的广泛使用。有 91% 的审计代码库包含的开源组件在过去两年中没有任何开发活动,即没有进行代码改进和安全修复。报告称,这意味着虽然开源社区在解决安全问题方面做得很好,但有很多公司根本却根本没有应用这些补丁。
猜你喜欢: