报告：91%的商业App包含过时或废弃开源组件

本文摘要：Synopsys公司发布了2020年开源安全和风险分析（OSSRA）报告，该报告由Synopsys网络安全研究中心（CyRC）制作，研究了由黑鸭审计服务团队进行的1,250多次商业代码库审计的结果。重点介绍了商业应用程序中开源使用的趋势和模式，并提供了见解和建议，以帮助组织从安全性，许可证合规性和运营角度更好地管理开源风险。该报告重申了开源在当今软件生态系统中的关键作用，揭示了过去一年中几乎所有（99％）的经审核代码库均至少包含一个开源组件，其中开源代码占总体代码的70％。

Synopsys公司发布了2020年开源安全和风险分析（OSSRA）报告，该报告由Synopsys网络安全研究中心（CyRC）制作，研究了由黑鸭审计服务团队进行的1,250多次商业代码库审计的结果。重点介绍了商业应用程序中开源使用的趋势和模式，并提供了见解和建议，以帮助组织从安全性，许可证合规性和运营角度更好地管理开源风险。该报告重申了开源在当今软件生态系统中的关键作用，揭示了过去一年中几乎所有（99％）的经审核代码库均至少包含一个开源组件，其中开源代码占总体代码的70％。

然而更值得注意的是，老化或废弃的开源组件的继续广泛使用，其中91％的代码库包含的组件已经过时四年以上，或者在过去两年中没有开发活动。此外，更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。

经过审计的代码库中有75％包含具有已知安全漏洞的开源组件；同时，几乎一半（49％）的代码库包含高风险漏洞；两者比例都实现了同比增长。Synopsys网络安全研究中心首席安全策略师TimMackey表示：“很难否认开源软件在现代软件开发和部署中扮演的重要角色，但是很容易从安全和许可证合规性的角度忽略开源软件如何影响您的应用程序风险态势。”2020OSSRA报告强调了组织如何继续努力有效地跟踪和管理其开源风险。

维护包括开放源代码依赖项在内的第三方软件组件的准确清单，并使其保持最新状态，是从多个层面解决应用程序风险的关键起点。”2020OSSRA报告中一些值得关注的开源风险趋势总结如下：开源的采用率继续飙升。99%的代码库至少包含一些开源，每个代码库平均有445个开源组件，比2018年的298个有了显着增加。经过审核的代码中有70%被确定为开源，这一数字从2018年的60％增长到2015年（36％）以来的近两倍。

过时的和“废弃的”开源组件无处不在。91％的代码库包含的组件或者已经过时四年以上，或者在过去两年中没有开发活动。

除了存在安全漏洞的可能性增加之外，使用过时的开源组件的风险还在于更新它们还会带来不必要的功能或兼容性问题。易受攻击的开源组件的使用再次呈上升趋势。

在2017年至2018年期间，包含易受攻击的开源组件的代码库所占比例从78％下降至60％之后，在2019年上升至75％。同样，包含高风险漏洞的代码库的百分比从2018年的40％上升到2019年的49％。幸运的是，2019年审核的代码库均未受到臭名昭著的Heartbleed错误或2017年困扰Equifax的ApacheStruts漏洞的影响。开源许可证冲突继续使知识产权面临风险。

68％的代码库包含某种形式的开放源代码许可证冲突，而33％的代码库包含没有可识别许可证的开放源代码组件。许可证冲突的发生率因行业而异，从最高的93％（互联网和移动应用程序）到相对较低的59％（虚拟现实、游戏、娱乐、媒体）不等。

本文关键词：报告,91%,的,商业,App,大阳城官网,包含,过,时或,废弃,开源

本文来源：大阳城官网-www.minhadietahcg.com