2020 OSSRA 報告:91%的商業App 包含過時或廢棄的開源組件
Synopsys公司發布了 2020年開源安全和風險分析(OSSRA)報告,該報告由 Synopsys網絡安全研究中心(CyRC)製作,研究了由黑鴨審計服務團隊進行的1,250多次商業代碼庫審計的結果。
重點介紹了商業應用程序中開源使用的趨勢和模式,並提供了見解和建議,以幫助組織從安全性,許可證合規性和運營角度更好地管理開源風險。
該報告重申了開源在當今軟件生態系統中的關鍵作用,揭示了過去一年中幾乎所有(99%)的經審核代碼庫均至少包含一個開源組件,其中開源代碼佔總體代碼的70%。然而更值得注意的是,老化或廢棄的開源組件的繼續廣泛使用,其中91% 的代碼庫包含的組件已經過時四年以上,或者在過去兩年中沒有開發活動。
此外,更令人擔憂的則是不受管理的開放源代碼帶來的日益嚴重的安全風險的趨勢。經過審計的代碼庫中有75% 包含具有已知安全漏洞的開源組件;同時,幾乎一半(49%)的代碼庫包含高風險漏洞;兩者比例都實現了同比增長。
Synopsys 網絡安全研究中心首席安全策略師Tim Mackey 表示:“很難否認開源軟件在現代軟件開發和部署中扮演的重要角色,但是很容易從安全和許可證合規性的角度忽略開源軟件如何影響您的應用程序風險態勢。”2020 OSSRA 報告強調了組織如何繼續努力有效地跟踪和管理其開源風險。維護包括開放源代碼依賴項在內的第三方軟件組件的準確清單,並使其保持最新狀態,是從多個層面解決應用程序風險的關鍵起點。”
2020 OSSRA 報告中一些值得關注的開源風險趨勢總結如下:
- 開源的採用率繼續飆升。99%的代碼庫至少包含一些開源,每個代碼庫平均有445個開源組件,比2018年的298個有了顯著增加。經過審核的代碼中有70 %被確定為開源,這一數字從2018年的60%增長到2015年(36%)以來的近兩倍。
- 過時的和“廢棄的”開源組件無處不在。 91%的代碼庫包含的組件或者已經過時四年以上,或者在過去兩年中沒有開發活動。除了存在安全漏洞的可能性增加之外,使用過時的開源組件的風險還在於更新它們還會帶來不必要的功能或兼容性問題。
- 易受攻擊的開源組件的使用再次呈上升趨勢。在2017年至2018年期間,包含易受攻擊的開源組件的代碼庫所佔比例從78%下降至60%之後,在2019年上升至75%。同樣,包含高風險漏洞的代碼庫的百分比從2018年的40%上升到2019年的49%。幸運的是,2019年審核的代碼庫均未受到臭名昭著的Heartbleed錯誤或2017年困擾Equifax的Apache Struts漏洞的影響。
- 開源許可證衝突繼續使知識產權面臨風險。 68%的代碼庫包含某種形式的開放源代碼許可證衝突,而33%的代碼庫包含沒有可識別許可證的開放源代碼組件。許可證衝突的發生率因行業而異,從最高的93%(互聯網和移動應用程序)到相對較低的59%(虛擬現實、遊戲、娛樂、媒體)不等。
想要了解更多詳細信息,可下載 2020 OSSRA報告副本。