新思科技OSSRA报告,深入分析开源应用的趋势与模式

2019-05-15来源: EEWORLD关键字:新思科技  开源应用

很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。

 

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1,200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。

 

image.png

报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。


image.png

新思科技网络安全研究中心首席安全策略师Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”


2019年OSSRA报告中最值得注意的开源风险趋势包括:

● 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件,每个代码库中平均有298个开源组件,2017年则为257个。

●  开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突,38%的代码库包含没有可识别许可证的开源组件。

● “废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护,也就意味着没有人正在处理其潜在的漏洞。

● 许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年,略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16,500个新漏洞,其明确的修补流程需要扩展以适应增加的披露的漏洞。

● 并非所有的漏洞都相同,但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。


报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:


· 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞,相比2017年的78%已经改善不少。

· 总体而言,开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件,2017年则为74%。


image.png

关键字:新思科技  开源应用

编辑:baixue 引用地址:http://news.eeworld.com.cn/IoT/ic461987.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:从人工智能到云,英特尔开源技术推动软件栈创新
下一篇:Riccardo Di Blasio被任命为Commvault首席营收官

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

NSITEXE采用新思科技方案 研制基于DFP的自动驾驶SoC测试芯片

(图片来源:新思科技官网)据外媒报道,新思科技(Synopsys)宣布NSITEXE, Inc.利用新思科技的设计、验证和IP解决方案,以及DesignWare®IP,成功研制出基于DFP(数据流处理器)的SoC测试芯片。DFP具有独特架构,结合了用于处理庞大和复杂数据集的CPU和GPU,允许并行数据管理,并支持独立应用的能力,具有高质量和高功效的并行性。NSITEXE, Inc.总裁兼首席执行官Yukihide Niimi表示,“我们为Tier1、工业和智能家电等客户提供基于DFP的IP解决方案和服务,支持各种应用,例如自动驾驶汽车系统、机器人、工厂自动化和ITO。我们很高兴够利用新思科技的设计、测试、验证和IP解决方案
发表于 2019-09-07
NSITEXE采用新思科技方案 研制基于DFP的自动驾驶SoC测试芯片

灿芯半导体与新思科技延双方的IP OEM合作协议

中国上海,2019年9月3日,全球领先的定制化芯片(ASIC)设计解决方案提供商灿芯半导体(“灿芯”)与新思科技(Synopsys, Inc.,纳斯达克股票代码:SNPS)与共同宣布,延长双方的IP OEM合作协议,从而使灿芯能够继续得到新思科技全面且高质量的DesignWare® IP及专业技术支持。 灿芯首席执行官庄志青博士表示:“与新思科技延长合作伙伴关系,可以让我们的用户继续获得全面的硅验证IP产品组合,满足其不同需求。将新思科技Designware IP解决方案与灿芯的设计服务相结合,有助于降低风险和成本,加快SoC设计进程,并缩短上市时间。” 新思科技IP营销副总裁John Koeter表示:“新思科技
发表于 2019-09-03

新思科技联合Ponemon 发布《金融服务业软件安全状况》报告

现在,金融科技已深深地嵌入到每一项金融服务业务中。如果没有金融科技,任何银行或保险公司恐怕都将无法运营。同时,对金融服务业而言,网络安全是一个非常现实且迫切的问题。 新思科技近期发布了《金融服务业软件安全状况》报告。数据安全中心Ponemon Institute对金融服务行业当前的软件安全实践进行了独立调查。报告重点呈现了金融服务行业的安全现状及解决安全相关问题的能力。调查显示超过一半的受访机构曾由于不安全的金融服务软件和技术而导致客户敏感信息被盗或系统故障及停机。此外,许多机构难以管理其供应链的网络安全风险,且无法在软件发布前正确评估其安全漏洞。 新思科技软件质量与安全部门安全咨询总经理Drew
发表于 2019-08-26

新思科技分析科技公司并购尽职调查要点

来让我们看看如何评估。 谁将要购买技术公司?对于并购活动涉及的技术公司,有两种基本类型的购买方: 企业或者战略性买家,寻求将目标公司的软件技术“锁定”到他们现有的技术堆栈。私募股权买家,购买科技公司并寻求对其进行经营(管理),将其作为独立运营的全资子公司或者投资组合公司。随着时间的推移,他们准备好将公司卖给战略性买家。 两种类型的买家会影响你使用技术尽职调查来评估流程和工具的方法。 并购的观点在技术收购中,一个战略性买家对流程和工具的技术尽职调查通常会有一两个观点(不相互排斥): 如果你计划购买整个公司并且保持原有的运营,你应该评估目标公司如何进行软件开发以及使用哪些工具。如果你计划
发表于 2019-07-22

新思科技与英飞凌基于虚拟开发技术 拓展汽车卓越中心

开创性将虚拟原型这一先进技术拓展到汽车电子领域,为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升效率新思科技Virtualizer开发工具包支持在芯片上市之前18个月就进行软件开发,以及将测试从物理环境转移至虚拟环境新思科技与英飞凌的合作侧重于面向汽车用户建模、软件开发和交付VDK新思科技(Synopsys, Inc.,纳斯达克股票代码:SNPS)近日宣布携手英飞凌共同拓展汽车卓越中心,从而加速汽车电子系统的开发,并为英飞凌的第三代AURIX™微控制器系列交付新思科技Virtualizer™开发工具包(简称“VDK”)。通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping),全面提升
发表于 2019-07-10
新思科技与英飞凌基于虚拟开发技术 拓展汽车卓越中心

新思科技携手英飞凌共同拓展汽车卓越中心

新思科技Virtualizer开发工具包支持在芯片上市之前18个月就进行软件开发,以及将测试从物理环境转移至虚拟环境新思科技与英飞凌的合作侧重于面向汽车用户建模、软件开发和交付VDK 新思科技近日宣布携手英飞凌共同拓展汽车卓越中心,从而加速汽车电子系统的开发,并为英飞凌的第三代AURIX™微控制器系列交付新思科技Virtualizer™开发工具包(简称“VDK”)。 通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping),全面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升研发效率。新思科技面向英飞凌AURIX微控制器
发表于 2019-07-10

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD.com.cn, Inc. All rights reserved