《2020 年開源安全和風險分析（OSSRA）報告》：75% 商業代碼庫有漏洞，超半數含高風險漏洞

技術編輯：芒果果丨發自 思否編輯部
SegmentFault 思否報道丨公衆號：SegmentFault

近日，Synopsys 公司發佈了《2020 年開源安全和風險分析（OSSRA）報告》，總結了目前商業應用程序中開源使用的模式，對存在的風險作了分析，並提出瞭如何順應趨勢管理開源風險的建議。

Synopsys 網絡安全研究中心對 Black Duck Audits 審計服務團隊進行的 1250 屢次商業代碼庫審計結果進行了分析，包括對 物聯網、軟件基礎設施、金融科技、零售電商等 17 個行業的審計結果。

半數代碼庫包含高風險漏洞

審計發現，2019年每一個代碼庫平均有 445 個開源組件，比 2018 年的 298 個顯著增長。開源組件增長天然加大了漏洞風險，《2020 年開源安全和風險分析（OSSRA）報告》重點強調了開源風險管理問題。

報告顯示，2019 年審計的代碼庫中，有 70% 進行了開源，同比增加 10%。但其中 75% 的代碼庫中包含已知的安全漏洞，49% 的代碼庫包含高風險漏洞。

今年 3 月 安全公司 WhiteSource 發佈的《開源年度報告》顯示，2019 年公開披露的開源漏洞爲 6100 個，同比增加 50%。

開源軟件在軟件開發中扮演着愈發重要的角色，開源軟件漏洞對數據安全危害極大。

Synopsys 網絡安全研究中心首席安全策略師 Tim Mackey 說：「很難否定開源軟件在現代軟件開發和部署中扮演的重要角色，可是很容易從安全和許可證合規性的角度忽略開源軟件如何影響您的應用程序風險態勢。」

五大常見開源組件

報告顯示，通過審計的 124 個開源組件一般用於物聯網、軟件基礎設施、金融科技、零售電商等 17 個行業中。其中佔比排名前五的開源組件爲：

1.jQuery：快速、簡潔的 JavaScript 框架；

2.Bootstrap：基於 HTML、CSS、JavaScript 開發的簡潔、直觀、的前端開發框架，簡化 Web 開發過程；

3.Font Awesome：爲 Twitter Bootstrap 設計的圖標字體；

4.Lodash：一致性、模塊化、高性能的 JavaScript 實用工具庫；

5.jQuery UI： jQuery 的頁面 UI 插件。

識別漏洞是開源管理的關鍵因素

Gartner 分析師 Dale Gardner 在《軟件組合分析技術洞察》中研究軟件組合分析的現狀時指出：「成熟的組織擴展開源管理，基於軟件包的來源對軟件總體進行’健康’評估。」

多年來，對管理開源的關注也有所發展。 大多數組織最初都把精力集中在開源許可證識別上，這是任何開源管理的關鍵部分。隨着開源使用的普及，出現了超出許可風險的風險：識別和減輕已知的漏洞，是開源管理的另外一個關鍵因素。

報告原文下載連接：https://www.synopsys.com/soft...