新思科技发布《2020年开源安全和风险分析》报告

2020-05-27来源: EEWORLD关键字:新思科技

开源组件和库几乎是每个行业中每个应用程序的基础。随着开源软件在商业软件中的使用量日益增加,识别、跟踪和 管理开源的需求也呈现出指数级增长。许可证验证、已知漏洞修补流程、以及处理过时和不受支持的开源软件包的策略,对于负责任地使用开源代码都不可或缺。

 

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布了《2020年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck审计服务团队执行的对超过1,250个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势和模式,并且提供见解和建议,以帮助企业从安全性、许可证合规性和操作角度更好地管理开源风险。

 

2020 OSSRA报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中经过审计的所有有效代码库(99%)至少包含一个开源组件,其中开源占所有代码的70%。值得注意的是,老化或废弃的开源组件仍然被广泛使用,91%的代码库中包含的组件已经过期四年以上或过去两年中没有开发活动。

 

在今年的分析中,最令人担忧的趋势是未管理的开源代码带来的安全风险日益增加,经过审计的代码库中,75%包含具有已知安全漏洞的开源组件,而去年这一比例是60%。同样,将近一半(49%)的代码库包含高风险漏洞,去年则为40%。

 

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“我们很难摒弃开源在现代软件开发和部署中扮演的重要角色;但是却很容易从安全性和许可证合规性角度忽略它如何影响应用程序风险态势。2020年OSSRA报告强调企业如何持续努力有效地追踪和管理其开源风险。维护一个准确的第三方软件组件库包括开源依赖项,并对其保持更新是从多个层面处理应用程序风险的关键起点。”

 

2020年OSSRA报告中最值得注意的开源风险趋势包括:


Ÿ   开源采用率持续增长。99%的代码库包含至少一些开源,每个代码库中平均有445个开源组件,比2018年的298个有显著增加。被审计的代码中有70%是开源代码,这一数字从2018年的60%增至目前,并且自2015年(36%)以来几乎翻了一番。

Ÿ   过期和“废弃”的开源组件非常普遍。91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的可能性增加之外,使用过期的开源组件的风险在于更新它们还会带来不必要的功能和兼容性问题。

Ÿ   易受攻击的开源组件的使用再次呈上升趋势。2019年,包含易受攻击的开源组件的代码库的比例从2017年的78%下降至2018年的60%之后增至了75%。同样地,包含高风险漏洞的代码库的比例由2018年的40%增至49%。幸运地是, 2019年审计的代码库中都没有受到臭名昭著的Heartbleed漏洞或2017年困扰Equifax的Apache Struts漏洞的影响。

Ÿ   开源许可证冲突持续使知识产权面临风险。尽管开源软件拥有“免费”的优势,但它与其它软件一样都要受到许可证的约束。67%的代码库包含某种形式的开源代码许可证冲突,33%的代码库包含没有可识别许可证的开源组件。许可证冲突的发生率因行业而异,从最高的93%(互联网和移动应用程序)到相对较低的59%(虚拟现实、游戏、娱乐和媒体)。


关键字:新思科技 编辑:muyan 引用地址:http://news.eeworld.com.cn/IoT/ic498416.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:贸泽电子在线计算器助力电子设计提速
下一篇:下一波人工智能将更加强大

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

新思科技武汉全球研发中心正式入驻
5月22日,新思科技宣布其武汉全球研发中心迎来正式入驻。新思科技官方消息显示,新思科技武汉全球研发中心拥有先进和完善的研发技术平台、管理体系和人才培养体系,专注于开发全球半导体产业和电子信息产业所需的前沿技术和产品。据了解,新思武汉在册员工300多人,且90%以上为研发工程师,目前已全面复工,其武汉研发团队预计将扩大至500多人。2019年12月,新思科技举办武汉全球研发中心大楼落成仪式,标志着该研发中心正式启用。据新思科技武汉研发中心总经理胡隽当时表示,目前新思科技武汉研发中心已有300多位研发人员,研发中心最高可容纳500多员工。在定位上,新思科技武汉研发中心与新思上海研发中心有所不同,武汉研发中心侧重于IP和软件安全,上海
发表于 2020-05-23
新思科技连续四年位列应用安全测试领导者
现在,无论是企业还是个人都依赖各种软件应用程序来执行工作任务和休闲娱乐等。因此,企业也愈加注重应用程序安全,投入更多在应用安全测试方面。 美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日宣布其连续四年在Gartner魔力象限应用安全测试中被评为领导者1。报告中,Gartner基于前瞻性和执行力对11家应用安全测试供应商进行了评估。新思科技在执行力和前瞻性方面连续两年都获得了最高评分,分别排在最高及最靠右的位置。  报告的作者表示:“Gartner观察到驱动应用安全测试(AST)市场变革的主要推动因素是支持企业DevOps计划的需求。客户需要能够提供高保证、高质量
发表于 2020-05-11
新思科技连续四年位列应用安全测试领导者
新思科技大咖“私房菜”:边缘计算将如何引爆5G与IoT
“颠覆性时代”或许是对我们所处时代最恰当的描述。大数据、AI、5G、IoT……数年之内各项颠覆性技术渐次爆发、交相辉映,更有趣的是,这些具有颠覆能力的技术并不是独立发展的,相反,它们是如此的盘根错节、相辅相成。甚至,大数据、IoT 和 AI 的组合可以为未来带来无限潜力,而能够将这些技术“粘合”到一起的是边缘计算。何为边缘计算?新思科技(Synopsys)产品营销经理 Ron Lowman指出,边缘计算有很多术语,包括“边缘云计算”和“雾计算”。边缘计算的概念通常被描述为在本地服务器上运行的应用程序,旨在将云进程更靠近终端设备。当前,边缘计算迎来了科技巨头亚马逊、谷歌和微软的追捧,他们也正成为这一领域的领先者,除此之外,华为
发表于 2020-05-08
新思科技大咖“私房菜”:边缘计算将如何引爆5G与IoT
新思科技详解手机中的生物识别数据泄露漏洞
OnePlus 7 Pro 信息泄露漏洞在近日被披露。OnePlus 7 Pro 10.0.3.GM21BA之前的版本中存在安全漏洞。攻击者可利用该漏洞从指纹感应器中获取指纹图像(位图)。新思科技对此漏洞进行了解析。 近年来,移动可信执行环境(TEE, ARM TrustZone)的应用逐步增长。新思科技网络安全研究中心(CyRC)对TEE的应用安全进行了研究分析,其中的一个发现涉及到一加手机OnePlus 7 Pro Advanced的漏洞。该漏洞可能会导致用户注册指纹信息被泄露。 安卓系统指纹认证简介 在安卓6以前并没有一套指纹认证的标准。在安卓6以后,谷歌开始介入,并在“即兼容性定义文档”1中
发表于 2020-04-29
新思科技详解手机中的生物识别数据泄露漏洞
如何避免网络办公时的趁火打劫?新思科技来支招
近期,出于健康安全考虑以及尽可能保持业务正常运作,全球越来越多的企业开始启动远程办公模式。信息共享、远程协作可以助力企业复工,但远程办公面临的网络安全考验不容忽视。为了避免不法分子“趁火打劫”,在保证效率的同时也提升安全性,企业需要了解远程办公有哪些潜在的安全风险。 Jonathan Knudsen是新思科技高级安全策略师,他从1996年就已经选择在家办公了,就此提供了一些实用建议。 不要着急,不要走捷径 人们在高压、分心和仓促的时候容易犯错。很多刚刚开始远程办公的员工往往都会遇到以上情况。他们在一个非日常办公的地方上班,还要平衡生活和工作。 而此时,网络不法分子跃跃欲试,四处寻觅身份验证
发表于 2020-04-20
如何避免网络办公时的趁火打劫?新思科技来支招
换一换 更多 相关热搜器件
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2020 EEWORLD.com.cn, Inc. All rights reserved