文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新思科技发布《2021年开源安全和风险分析》报告

2024-12-03 05:43

关注

近日,新思科技  (Synopsys, Nasdaq: SNPS)发布了《2021年开源安全和风险分析》报告(OSSRA)。本报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck®审计服务团队执行的对超过1,500个商业代码库的审计结果,重点介绍了在商业应用程序中开源应用的趋势,并且提供了见解,以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

2021年 OSSRA报告指出,开源是所有行业绝大多数应用程序的基础;但同时,他们也在费尽心思去管理开源风险。如所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体,其中95%的营销科技代码库存在开源漏洞;98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞;97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞;92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。

然而更令人担忧的是废弃开源组件仍在被广泛使用。高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。报告中还提到,2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。

[[397128]]

新思科技软件质量与安全部门 软件应用安全解决方案工程师王永雷

新思科技软件质量与安全部门,软件应用安全解决方案工程师王永雷认为,导致上述现象发生的原因是多方面的。首先是我们没有找到正确的方向,很多人认为安全是一次性的,但事实并非如此,我们要有长期思维,要持续的去做安全;其次是缺乏工程化的能力。“从我们的角度来讲,第一是工具要有很强的探测能力,第二要自动化,第三要容易集成,第四要形成一整套的自动化的规则去落地的机制,不要让安全成为一个障碍,让安全去助力于整个开发的过程。”王永雷强调。

此外,2021年OSSRA报告中提及的其它开源风险包括:

“为了确保企业开源合规安全管理,新思科技除了可以提供工具外,还有针对不同行业的最佳实践。我们在中国也有很强的本地化支持的能力,希望“以客户为中心“,帮助客户去落地可实践的方案,致力帮助客户成功。”王永雷强调道,“一个真正的方案必须是专业人员、流程、技术三者融合,缺一不可,这样才能给客户带来真正的价值。”

“The key to success is to start before you’re ready。”——成功的关键是在你开始之前就做了很多准备了,而不是一蹴而就的事情。想做好开源安全也同样如此。

 

 

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯