新思科技:构建可信软件不容忽视开源组件和依赖管理

最新更新时间:2022-11-22来源: EEWORLD关键字:新思科技  软件 手机看文章 扫描二维码
随时随地手机看文章

image.png


开源已经成为软件行业的趋势。然而,由于开源使用的便捷性,有些企业可能会忽略其带来的风险。开源组件和依赖管理对于软件安全性和可信性来说极其重要。


开源软件无处不在。无论在什么行业,每个企业都需要依赖软件来满足其业务需要。而且,企业构建和使用的大多数应用程序都包含了开源代码。随着各行各业迁移至云原生应用以及应用程序越来越复杂,软件的安全风险也随之增长。企业需要在其软件开发生命周期(SLDC)中实施开源依赖最佳实践,并选择正确的工具来管理其开源风险。新思科技指出对开发人员进行开源安全培训和部署强大的软件组成分析(SCA)工具,都是保护代码、降低开源软件风险的关键步骤。


新思科技中国区软件应用安全业务总监杨国梁表示:“开源已经被明确列入了中国‘十四五’规划,其价值正在被越来越多的领域所认可。虽然凭借其开放、协作、共享的特性,开源这一赛道持续火热。但其中的风险隐患也不容忽视。过度依赖开源组件可能导致产品同质化;更需要重视的是,这还会增加安全风险、知识产权风险、供应链安全风险等。企业需要制定清晰的开源策略,并在内部及供应链贯彻该策略,借助可靠的测试工具,以满足业务发展需求的速度开发可信软件产品。”


新思科技发布的《2022年开源安全和风险分析》报告(OSSRA)强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。该报告调研了17个行业,其中计算机硬件和半导体、网络安全、能源与清洁技术,以及物联网这四个行业被审计的代码库中100%包含开源组件。其余的垂直行业的代码库中有93%到99%包含开源组件。


报告还发现许可证冲突总体上在减少。超过一半(53%)的被审代码库存在许可证冲突,与 2020 年的 65% 相比大幅下降。尽管如此,未经审查的依赖关系的用例有所增加。也就是说,当开发人员引入开源依赖项时,他们通常不知道其中包含许可条款的子依赖项。例如,常用的 node.js 组件的某些版本包含一个依赖项,该依赖项使用了 CC-SA 3 许可协议下许可的代码,这可能会对被许可人提出非预期的要求,需要对可能的知识产权IP问题或其它影响进行法律评估。


更糟糕的是使用过时的开源组件仍然是常态。在新思科技Black Duck审计服务团队今年分析的2,097个代码库中, 88%的代码库包含过时版本的组件。这意味着,市场上有可用的更新/修复版本,但开发人员并未采用。


没有将软件升级到最新版本的理由有很多。但是,如果没有一份清单,准确列明其在代码使用的开源组件,那过时的组件可能就会被遗忘;直到变成一个易受攻击的高风险漏洞。


这正是Log4j漏洞产生的原因。漏洞本身固然危险,但引起企业恐慌和混乱的是,当他们试图修复漏洞时,却不知道Log4j在其系统和应用程序中的位置。甚至有的企业还在着急地检查他们是否应用了Log4j。


在危机发生之前建立开源依赖最佳实践


建立一个全面的开源软件管理程序或许令人望而却步,但企业可以参考一些最佳实践,以循环渐进提升开源软件安全。


为了避免“零日漏洞”带来的风险,保护资源和数据,企业需要建立软件治理,包括制定策略、设置审批流程以及对现有开源软件依赖项进行全面审计。


1. 制定策略


制定开源策略可以最大限度地降低使用开源软件的法律、技术和业务风险。有一些企业甚至设立开源项目办公室,以管理与开源软件相关的所有事宜。


制定开源策略的第一步是要明确主要利益相关者。这包括开发人员、高层管理人员、IT人员、使用开源组件的团队经理、就开源许可证合规性提供建议的法律专家以及软件架构师等。他们都会受到策略的影响。所有利益相关者都应该今早参与到开源相关流程。


开源策略应该列明企业使用开源组件的目的;目前使用多少开源组件;如何使用开源组件;包含哪些开源许可证;开源软件的使用对于内部开发和交付的软件有何不同等。企业还需要建立开源软件采购和选择流程。比较理想的情况下,该流程标明允许使用的网站、存储库、获取开源软件的方法,以及如何确定特定软件包是否适用。此外,还需要规定谁可以下载开源软件、从哪里下载,以及在下载、使用或分发之前是否需要许可。


2. 设置审批流程


您还应该建立一个审批流程,以确定软件包是否满足企业的需求和质量标准。 需要考虑的标准包括代码质量、支持级别、项目成熟度、贡献者声誉和漏洞趋势。


如果流程审批要发挥作用,则需要快速处理请求。 建立一个预先批准的开源列表可以帮助加速处理请求。


3. 创建审计流程以检测开源软件


除了确保遵守内部政策外,审计还可以全面了解正在使用的开源软件。 这将帮助识别和定位开源组件,对于维护开源许可证合规性至关重要。而且,当有漏洞披露时,企业也可以尽快响应。


为了查明应用中易受攻击的组件,您必须首先掌握应用中的所有开源组件。 这需要考虑代码的所有版本和fork,检测源代码和二进制形式的组件,分析经常嵌入开源的商业软件,并检查包管理器中声明以外的内容。 手动记录开源清单通常不准确,将这些任务自动化很有必要。


审计后,企业将能够创建任务列表和相应的计划,以帮助改善软件并实现合规性。 此类任务可能包括提供源代码,包括代码或文档中所需的通知,以及更新最终用户许可协议。 如不符合合规性,您需要寻找替代方案,例如不同的库。


关键字:新思科技  软件 编辑:张工 引用地址:新思科技:构建可信软件不容忽视开源组件和依赖管理

上一篇:新思科技BSIMM13报告显示加强软件供应链安全实践显著增加
下一篇:华中科技大学团队成功研发计算光刻EDA软件

推荐阅读

软件BUG频出 驾驶辅助系统可靠性遭质疑
近日,一位理想L8车主在网络上发布消息称,自己夜晚驾车时突然发现车辆感知系统提示后方有人追车,检查后确认车后并没有人。事后,理想汽车官方回应称出现该情况是因为理想L8 Pro(AD Pro平台4.2版本)视觉感知算法存在BUG,由于事发当晚下着小雨,系统误将雨滴识别成了行人。虽然只是虚惊一场,但此事一出,还是引发了舆论对于驾驶辅助系统可靠性的热议。BUG频出、投诉持续高企 驾驶辅助技术仍不完善智能汽车已经成为全球汽车产业发展的战略方向,作为核心技术之一的驾驶辅助技术也迎来了飞速发展。不过,受限于政策法规的制约,当前汽车自动驾驶水平普遍仍处在L2阶段,也称为L2级辅助驾驶,即车辆实现部分的自动化,距离完全自动驾驶还有很长一段距离。与此
发表于 2023-01-20
<font color='red'>软件</font>BUG频出 驾驶辅助系统可靠性遭质疑
CEVA音频前端软件解决方案通过Alexa语音服务(AVS)认证
CEVA音频前端软件解决方案通过Alexa语音服务(AVS)认证这款解决方案结合了ClearVox™远场降噪软件与WhisPro™基于神经网络的关键词识别(KWS)软件,可整合至支持Alexa语音服务的设备全球领先的无线连接和智能感知技术及共创解决方案的授权许可厂商CEVA, Inc.(宣布其音频前端(AFE)软件解决方案已经通过Alexa语音服务(AVS)认证。该解决方案结合了CEVA的ClearVox™远场降噪和语音处理软件与WhisPro™基于语音用户接口神经网络的关键词识别(KWS)软件,是功能强大的超低功耗软件包,可与支持AVS的设备(如智能扬声器、音响棒等)集成。AVS是亚马逊基于云的服务,可让设备制造商将越来越多的Al
发表于 2023-01-19
CEVA音频前端<font color='red'>软件</font>解决方案通过Alexa语音服务(AVS)认证
英飞凌TRAVEO™ T2G-C系列微控制器和Altia CloudWare™软件平台亮相CES 2023
英飞凌TRAVEO™ T2G-C系列微控制器和Altia CloudWare™软件平台亮相CES 2023,简化显示器相关应用【2023年01月12日,德国慕尼黑和美国内华达州拉斯维加斯讯】英飞凌科技股份公司与全球领先的图形用户界面(GUI)设计和开发工具提供商Altia近日宣布双方达成合作。2023年初,Altia CloudWare™软件平台开始支持英飞凌TRAVEO™ T2G-C系列微控制器(MCU),赋能显示器相关应用。在近期举办的2023年国际消费电子展(CES 2023)上,全球电源系统和物联网领域的半导体领导者英飞凌和Alita分别展示了TRAVEO™ T2G-C系列微控制器和CloudWare™软件平台,并进行了相关
发表于 2023-01-12
英飞凌TRAVEO™ T2G-C系列微控制器和Altia CloudWare™<font color='red'>软件</font>平台亮相CES 2023
新思科技:数字赋能,安全先行
数字创新离不开软件驱动;软件的可信度很大程度取决于软件安全成熟度。中国正在把发展经济的着力点放在实体经济上,加快建设网络强国、数字中国。同时,数字经济与各种产业叠加,赋予数字化力量,可以提升实体经济的产业优势,促进产业迈向高质量。对此,新思科技强调,数字赋能,安全先行。把安全贯穿在数字经济发展的全过程,才能行稳致远。软件安全不会一蹴而就,而是一个旅程,需要借鉴“他山之石”,取长补短。当然,他人的经验并非都有普适性。虽然出发点是好的,但是如果采纳了不适合自身的软件安全建议,或者盲目跟随某家企业的软件安全计划,可能会导致损失。一旦不法分子发现其中的缺陷和漏洞,就可以窃取知识产权、员工和客户的个人信息、清空公司银行账户、破坏建筑的安保,甚
发表于 2023-01-12
<font color='red'>新思科技</font>:数字赋能,安全先行
基于嵌入式Linux的语音识别系统硬软件设计详细讲解教程
该设计运用三星公司的S3C2440,结合ICRoute公司的高性能语音识别芯片LD3320,进行了语音识别系统的硬件和软件设计。在嵌入式Linux操作系统下,运用多进程机制完成了对语音识别芯片、超声波测距和云台的控制,并将语音识别技术应用于多角度超声波测距系统中。通过测试,系统可以通过识别语音指令控制测量方向,无需手动干预,最后将测量结果通过语音播放出来。1.引言语言是人类传播信息的重要手段,语音识别则是实现语音控制的关键技术。采用嵌入式语音识别技术使得设备具有功耗低、使用简便、灵活等优点,摆脱了复杂按键和按钮的困扰,在服务机器人、智能家居及消费电子等领域发挥着重要作用。2.系统构成与原理语音识别主要包括两个阶段:训练阶段和识别阶段
发表于 2023-01-12
基于嵌入式Linux的语音识别系统硬<font color='red'>软件</font>设计详细讲解教程
边缘智能,软件定义,汽车未来该如此演绎
目前汽车行业正在经历着新一轮的革命,从“齿轮和润滑油”技术过渡到“数字与芯片”的时代。在这些新技术的加持下,汽车可以变得更智能、更环保、更舒适以及更自由。在新时代下,诞生了包括边缘计算、软件定义汽车等新趋势,从而更好地协助“数字与芯片”潮流的发展。边缘与软件定义的汽车包括自动驾驶在内的汽车智能化,使其对于算力的要求与日俱增,同时,汽车对安全性有着最严苛的要求。而基于云计算的技术由于延迟,带宽等原因,无法满足汽车系统实时性的要求。为此,汽车相关厂商一直在着力打造更强算力的边缘芯片,将其安装于车上,更贴近数据源和控制器的计算中心,从而使汽车拥有更快的自主计算决策权。同时,随着汽车硬件系统的复杂度提高,整车电子电气架构也正在从离散型向区域
发表于 2023-01-11
小广播
换一换 更多 相关热搜器件

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 市场动态 半导体生产 材料技术 封装测试 工艺设备 光伏产业 平板显示 EDA与IP 电子制造 视频教程

词云: 1 2 3 4 5 6 7 8 9 10

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2023 EEWORLD.com.cn, Inc. All rights reserved