相比闭源的软件,开源的优势显而易见,但是对开源风险的关注却远远不够。近日,新思科技 (Synopsys, Nasdaq: SNPS)发布了《2021年开源安全和风险分析》报告(以下简称“2021年OSSRA报告”)。该报告通过对超过1,500个商业代码库进行分析,发现开源安全、许可证合规性和维护问题依然很普遍。
2021年OSSRA报告由新思科技网络安全研究中心(CyRC)制作,其研究了由Black Duck®审计服务团队执行的对超过1,500个商业代码库的审计结果,重点介绍了在商业应用程序中开源应用的趋势,并且提供了见解,以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。同时,这份报告也详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。
2021年OSSRA报告的发布可谓正当其时。当前,无论是政府机构还是相关企业都在积极推动开源治理。比如,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院于2020年正式发布了业内首个《开源生态白皮书(2020)》。彼时,新思科技集合Black Duck的深厚的行业经验和深度的积累,为该白皮书的发布做出了积极的贡献。
2021年OSSRA报告强调,开源是所有行业绝大多数应用程序的基础;但同时,他们也在费尽心思去管理开源风险。报告发现:
· 所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。
· 98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞。
· 97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
· 92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。
更令人担忧的是废弃开源组件仍在被广泛使用。高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“超过90%的代码库使用了在过去两年没有发生任何开发活动的开源组件,这不足为奇。与供应商能直接将信息推送给用户的商业软件不同,开源更需要社区参与才能蓬勃发展。如果没有社区参与,企业就将开源组件用于商业软件,项目活力很容易减弱。废弃项目不是新问题,但是当它们出现时,解决安全问题变得更加困难。解决方案很简单,投资那些利于业务成功的项目。”
2021年OSSRA报告中提及的其它开源风险包括:
· 商业软件中过时的开源组件已成常态。85% 的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同,这些过时的开源组件拥有活跃的开发人员,但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全隐患之外,使用过时的开源组件还可能带来技术上的麻烦,包括与将来更新相关的功能问题和兼容性问题。
· 开源漏洞趋势朝着错误的方向发展。2020年,包含存在漏洞的开源组件的代码库百分比为84%,较2019年上涨了9%。同样,包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。
· 超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。2020年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险,通常需要进行评估,尤其涉及到合并和收购交易的时候。
新思科技软件质量与安全部门软件应用安全解决方案工程师王永雷(Leo Wang)在解读2021年OSSRA报告时告诉《极客网》,“大象一直在房间里”,开源安全、许可证合规性和维护问题在各行各业依然普遍存在。这些安全和风险问题给企业造成的损失,可能十分巨大。例如,2017年美国最大的征信机构之一Equifax被曝发生重大安全泄漏事件,1.43亿美国用户的个人数据因此受到攻击,导致公司股价暴跌,声誉受损,成为美国历史上最大的数据泄漏事件之一。
若需了解更多关于开源软件潜在风险和解决方案的信息,可点击下载2021年OSSRA报告。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
