售前咨询
技术支持
渠道合作

91%的商业App包含过时或废弃开源组件

Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告,该报告由 Synopsys 网络安全研究中心(CyRC)制作,研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。

该报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中几乎所有(99%)的经审核代码库均至少包含一个开源组件,其中开源代码占总体代码的70%。然而更值得注意的是,老化或废弃的开源组件的继续广泛使用,其中 91% 的代码库包含的组件已经过时四年以上,或者在过去两年中没有开发活动。

此外,更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75% 包含具有已知安全漏洞的开源组件;同时,几乎一半(49%)的代码库包含高风险漏洞;两者比例都实现了同比增长。

报告中值得关注的开源风险趋势总结

开源的采用率继续飙升。99% 的代码库至少包含一些开源,每个代码库平均有 445 个开源组件,比 2018 年的 298 个有了显着增加。经过审核的代码中有 70 % 被确定为开源,这一数字从 2018 年的 60% 增长到 2015 年(36%)以来的近两倍。

过时的和“废弃的”开源组件无处不在。 91% 的代码库包含的组件或者已经过时四年以上,或者在过去两年中没有开发活动。除了存在安全漏洞的可能性增加之外,使用过时的开源组件的风险还在于更新它们还会带来不必要的功能或兼容性问题。

易受攻击的开源组件的使用再次呈上升趋势。在 2017 年至 2018 年期间,包含易受攻击的开源组件的代码库所占比例从 78% 下降至 60% 之后,在 2019 年上升至 75%。同样,包含高风险漏洞的代码库的百分比从 2018 年的 40% 上升到 2019 年的 49%。

幸运的是,2019 年审核的代码库均未受到臭名昭著的 Heartbleed 错误或 2017 年困扰 Equifax 的 Apache Struts 漏洞的影响。

开源许可证冲突继续使知识产权面临风险。 68% 的代码库包含某种形式的开放源代码许可证冲突,而 33% 的代码库包含没有可识别许可证的开放源代码组件。许可证冲突的发生率因行业而异,从最高的 93%(互联网和移动应用程序)到相对较低的 59%(虚拟现实、游戏、娱乐、媒体)不等。

开源组件泄露的危害

风险一:许可证违规

大多数开源软件都有其发布许可(License),如果要使用这些开源软件,应当遵守其许可证(License)的要求,如果在使用开源软件时没有遵守其License 要求的各项义务,就是违规使用开源软件,会造成许可证合规性风险。

开源许可证违规造成的影响可大可小,严重时会导致法律诉讼,造成公司产品的召回、被迫开源自有知识产权代码等等,而这些事件还可能对公司的声誉、市场准入等造成长期的负面影响。

风险二:安全漏洞

开源软件也可能存在安全漏洞,使用了存在安全漏洞的开源代码,安全漏洞会被引入到您的软件当中。

一些现在没有安全漏洞的开源软件(其实是人们还没有发现其中的漏洞),将来可能会爆出漏洞,如果不能及时知晓这些安全漏洞以及安全漏洞涉及到您的哪些软件产品,也是一种很大的风险。

风险三:自有知识产权代码泄露

有些公司已经参与到开源大潮当中,成为某些开源项目的贡献者甚至时领导者,在对开源社区进行贡献时,如何界定和管理自有知识产权的代码不被开放出去,这点非常重要,如果管理的不好,会造成自有知识产权代码的泄露风险。

当一些公司作为供应商为其用户提供软件产品的时候,也存在自有知识产权代码泄露的风险。

代码签名证书的重要性

代码签名证书对开发商在所有平台上使用并对其发布在网络上的应用软件和软件进行数字签名。代码签名可以提供和客户购买的压缩软件同样的安全性,包括发布者的名称,以及避免恶意软件入侵和其他危害。代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。

代码签名证书具有以下优点

代码签名证书可以保证发布者的身份无误且已通过认证。

严格的审核过程能够核实更多关于发布者的信息,使假冒合法开发商和获取伪造证书的难度增大。

证书储存在USB身份锁上可以降低被盗用的风险。

获得微软智能屏幕过滤器的即时信誉可以去除终端用户收到的提示应用软件可能为恶意软件的警告信息

开源大潮不可阻挡,我们既要“拥抱”开源,又要避免其风险,尤其是在市场竞争日趋激烈、知识产权保护力度不断加大、自主可控要求不断强化的今天,如何安全、合规的使用开源软件,是我们需要解决的问题。

声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服