一項新研究基於對併購交易中涉及的 1,700 多項商業和專有代碼庫的審計結果,發現 84% 的代碼庫至少包含一個已知的開源漏洞,比去年增加了近 4%。
開源安全和風險分析 (OSSRA) 報告,由 Synopsys Cybersecurity 製作研究中心 (CyRC) 顯示開源的使用越來越多。在教育技術領域,它增長了 163%,教育課程和教師/學生互動越來越多地推向在線。
其他經歷開源增長大幅飆升的領域包括航空航天、航空、汽車、運輸和物流行業,增長了 97%,製造業和機器人技術增長了 74%。
自2019年以來,高危漏洞在零售和電子商務板塊上漲了 557%。物聯網領域 89% 的代碼都是開源的,同期高風險漏洞增加了 130%。同樣,航空航天、航空、汽車、運輸和物流的高風險漏洞增加了 232%。
該報告還發現,31% 的代碼庫使用沒有可識別許可證或帶有定制許可證的開源.這比去年的 OSSRA 報告增加了 55%。缺少與開源代碼相關的許可證或其他開源許可證的變體,可能會對被許可人提出不良要求,並且通常需要對可能的知識產權問題或其他法律影響進行法律評估。
“以現代開發速度管理開源風險的關鍵是保持應用程序內容的完整可見性,”Synopsys 軟件完整性小組高級軟件解決方案經理 Mike McGuire 說。 “通過將這種可見性構建到應用程序生命週期中,企業可以利用所需的信息武裝自己,以便就風險解決方案做出明智、及時的決策。利用任何類型的第三方軟件的組織都應該正確地假設它包含開源。驗證這一點,並控制相關風險就像獲取 SBOM 一樣簡單——供應商可以輕鬆提供這些東西,採取必要的步驟來保護他們的軟件供應鏈。”
完整報告可從 Synopsis 網站獲取。
圖片來源:Artur Szczybylo/Shutterstock