91%的商业App包含过时或废弃开源组件

云栖号资讯:【点击查看更多行业资讯
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!

Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告,该报告由 Synopsys 网络安全研究中心(CyRC)制作,研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。

91%的商业App包含过时或废弃开源组件

该报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中几乎所有(99%)的经审核代码库均至少包含一个开源组件,其中开源代码占总体代码的70%。

91%的商业App包含过时或废弃开源组件

然而更值得注意的是,老化或废弃的开源组件的继续广泛使用,其中 91% 的代码库包含的组件已经过时四年以上,或者在过去两年中没有开发活动。

此外,更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75% 包含具有已知安全漏洞的开源组件;同时,几乎一半(49%)的代码库包含高风险漏洞;两者比例都实现了同比增长。

91%的商业App包含过时或废弃开源组件

报告中开源风险趋势总结

开源的采用率继续飙升。99% 的代码库至少包含一些开源,每个代码库平均有 445 个开源组件,比 2018 年的 298 个有了显着增加。经过审核的代码中有 70 % 被确定为开源,这一数字从 2018 年的 60% 增长到 2015 年(36%)以来的近两倍。

91%的商业App包含过时或废弃开源组件

过时的和“废弃的”开源组件无处不在。91% 的代码库包含的组件或者已经过时四年以上,或者在过去两年中没有开发活动。除了存在安全漏洞的可能性增加之外,使用过时的开源组件的风险还在于更新它们还会带来不必要的功能或兼容性问题。

91%的商业App包含过时或废弃开源组件

易受攻击的开源组件的使用再次呈上升趋势。在 2017 年至 2018 年期间,包含易受攻击的开源组件的代码库所占比例从 78% 下降至 60% 之后;

在 2019 年上升至 75%。同样,包含高风险漏洞的代码库的百分比从 2018 年的 40% 上升到 2019 年的 49%。

91%的商业App包含过时或废弃开源组件

开源许可证冲突继续使知识产权面临风险。68% 的代码库包含某种形式的开放源代码许可证冲突,而 33% 的代码库包含没有可识别许可证的开放源代码组件。

许可证冲突的发生率因行业而异,从最高的 93%(互联网和移动应用程序)到相对较低的 59%(虚拟现实、游戏、娱乐、媒体)不等。

91%的商业App包含过时或废弃开源组件

开源组件泄露的危害

01.风险一:许可证违规

大多数开源软件都有其发布许可(License),如果要使用这些开源软件,应当遵守其许可证(License)的要求,如果在使用开源软件时没有遵守其License 要求的各项义务,就是违规使用开源软件,会造成许可证合规性风险。

开源许可证违规造成的影响可大可小,严重时会导致法律诉讼,造成公司产品的召回、*开源自有知识产权代码等等,而这些事件还可能对公司的声誉、市场准入等造成长期的负面影响。

02.风险二:安全漏洞

开源软件也可能存在安全漏洞,使用了存在安全漏洞的开源代码,安全漏洞会被引入到您的软件当中。
一些现在没有安全漏洞的开源软件(其实是人们还没有发现其中的漏洞),将来可能会爆出漏洞,如果不能及时知晓这些安全漏洞以及安全漏洞涉及到您的哪些软件产品,也是一种很大的风险。

03.风险三:自有知识产权代码泄露

有些公司已经参与到开源大潮当中,成为某些开源项目的贡献者甚至领导者,在对开源社区进行贡献时,如何界定和管理自有知识产权的代码不被开放出去,这点非常重要,如果管理的不好,会造成自有知识产权代码的泄露风险。
当一些公司作为供应商为其用户提供软件产品的时候,也存在自有知识产权代码泄露的风险。

91%的商业App包含过时或废弃开源组件

3.代码签名证书的重要性

代码签名证书对开发商在所有平台上使用并对其发布在网络上的应用软件和软件进行数字签名。代码签名可以提供和客户购买的压缩软件同样的安全性,包括发布者的名称,以及避免恶意软件入侵和其他危害。

代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。

代码签名证书具有以下优点
· 代码签名证书可以保证发布者的身份无误且已通过认证。
· 严格的审核过程能够核实更多关于发布者的信息,使假冒合法开发商和获取伪造证书的难度增大。
· 证书储存在USB身份锁上可以降低被盗用的风险。
· 获得微软智能屏幕过滤器的即时信誉可以去除终端用户收到的提示应用软件可能为恶意软件的警告信息

91%的商业App包含过时或废弃开源组件

开源大潮不可阻挡,我们既要“拥抱”开源,又要避免其风险,尤其是在市场竞争日趋激烈、知识产权保护力度不断加大、自主可控要求不断强化的今天,如何安全、合规的使用开源软件,是我们需要解决的问题。

【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo

立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK

原文发布时间:2020-06-04
本文作者:数多多
本文来自:“GDCA数安时代数字证书 微信公众号”,了解相关信息可以关注“GDCA数安时代数字证书

上一篇:能在电脑桌面提醒待办事项的日程安排管理软件


下一篇:这4种统计代码执行耗时,才足够优雅!