新思科技发布《2020年开源安全和风险分析》报告

发布者:EEWorld资讯最新更新时间:2020-05-27 来源: EEWORLD关键字:新思科技 手机看文章 扫描二维码
随时随地手机看文章

开源组件和库几乎是每个行业中每个应用程序的基础。随着开源软件在商业软件中的使用量日益增加,识别、跟踪和 管理开源的需求也呈现出指数级增长。许可证验证、已知漏洞修补流程、以及处理过时和不受支持的开源软件包的策略,对于负责任地使用开源代码都不可或缺。

 

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布了《2020年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck审计服务团队执行的对超过1,250个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势和模式,并且提供见解和建议,以帮助企业从安全性、许可证合规性和操作角度更好地管理开源风险。

 

2020 OSSRA报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中经过审计的所有有效代码库(99%)至少包含一个开源组件,其中开源占所有代码的70%。值得注意的是,老化或废弃的开源组件仍然被广泛使用,91%的代码库中包含的组件已经过期四年以上或过去两年中没有开发活动。

 

在今年的分析中,最令人担忧的趋势是未管理的开源代码带来的安全风险日益增加,经过审计的代码库中,75%包含具有已知安全漏洞的开源组件,而去年这一比例是60%。同样,将近一半(49%)的代码库包含高风险漏洞,去年则为40%。

 

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“我们很难摒弃开源在现代软件开发和部署中扮演的重要角色;但是却很容易从安全性和许可证合规性角度忽略它如何影响应用程序风险态势。2020年OSSRA报告强调企业如何持续努力有效地追踪和管理其开源风险。维护一个准确的第三方软件组件库包括开源依赖项,并对其保持更新是从多个层面处理应用程序风险的关键起点。”

 

2020年OSSRA报告中最值得注意的开源风险趋势包括:


Ÿ   开源采用率持续增长。99%的代码库包含至少一些开源,每个代码库中平均有445个开源组件,比2018年的298个有显著增加。被审计的代码中有70%是开源代码,这一数字从2018年的60%增至目前,并且自2015年(36%)以来几乎翻了一番。

Ÿ   过期和“废弃”的开源组件非常普遍。91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的可能性增加之外,使用过期的开源组件的风险在于更新它们还会带来不必要的功能和兼容性问题。

Ÿ   易受攻击的开源组件的使用再次呈上升趋势。2019年,包含易受攻击的开源组件的代码库的比例从2017年的78%下降至2018年的60%之后增至了75%。同样地,包含高风险漏洞的代码库的比例由2018年的40%增至49%。幸运地是, 2019年审计的代码库中都没有受到臭名昭著的Heartbleed漏洞或2017年困扰Equifax的Apache Struts漏洞的影响。

Ÿ   开源许可证冲突持续使知识产权面临风险。尽管开源软件拥有“免费”的优势,但它与其它软件一样都要受到许可证的约束。67%的代码库包含某种形式的开源代码许可证冲突,33%的代码库包含没有可识别许可证的开源组件。许可证冲突的发生率因行业而异,从最高的93%(互联网和移动应用程序)到相对较低的59%(虚拟现实、游戏、娱乐和媒体)。


关键字:新思科技 引用地址:新思科技发布《2020年开源安全和风险分析》报告

上一篇:贸泽电子在线计算器助力电子设计提速
下一篇:下一波人工智能将更加强大

推荐阅读最新更新时间:2024-11-19 01:52

新思科技解析AppSec计划成功的关键因素
随着软件构建变得越来越复杂,测试软件所需的安全工具也在不断扩展。许多企业甚至采用了数十种测试工具和技术来识别软件漏洞。但您真正需要的是哪些?这取决于您正在开发的软件类型以及交付方式。 Gartner 最近发布了 《 2023 年应用安全测试关键能力报告》 ,面向五个常见特定用例解析哪些工具和技术更为重要。 最大限度地提升企业应用安全 Gartner 将第一个用例定义为关注拥有广泛应用和开发方法的企业的需求。因此,他们需要一种全面的应用安全方法。换句话说,如果您的团队构建的软件不是企业本身的产品,而是业务的主要推动因素(比如,客户可借此访问产品或服务),则此用例适用。 软件供应链安全并不独立于应用安全,而是包含其
[物联网]
新思科技携手英飞凌共同拓展汽车卓越中心
新思科技Virtualizer开发工具包支持在芯片上市之前18个月就进行软件开发,以及将测试从物理环境转移至虚拟环境 新思科技与英飞凌的合作侧重于面向汽车用户建模、软件开发和交付VDK 新思科技近日宣布携手英飞凌共同拓展汽车卓越中心,从而加速汽车电子系统的开发,并为英飞凌的第三代AURIX™微控制器系列交付新思科技Virtualizer™开发工具包(简称“VDK”)。 通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping),全面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升研发效率。新思科技面向英飞凌AURIX微控制器的VDK让
[汽车电子]
新思科技面向台积公司先进工艺加速下一代芯片创新
新思科技携手台积公司共同开发人工智能驱动的芯片设计流程以优化并提高生产力,推动光子集成电路领域的发展,并针对台积公司的2纳米工艺开发广泛的IP组合 摘要: 由Synopsys.ai™ EDA套件赋能可投产的数字和模拟设计流程能够针对台积公司N3/N3P和N2工艺,助力实现芯片设计成功,并加速模拟设计迁移。 新思科技物理验证解决方案已获得台积公司N3P和N2工艺技术认证 ,可加速全芯片物理签核。 新思科技3DIC Compiler和光子集成电路(PIC)解决方案与台积公司COUPE技术强强结合,在硅光子技术领域开展合作,能够进一步提高人工智能(AI)和多裸晶(Multi-Die)设计的系统性能。 新思科技针对台积
[半导体设计/制造]
<font color='red'>新思科技</font>面向台积公司先进工艺加速下一代芯片创新
新思科技推出适用于IntelliJ集成开发环境的Code Sight标准版解决方案
独立的 IDE 插件使开发人员能够检测源代码和开源依赖项中的安全漏洞 随着数字化转型步伐加速,软件开发的速度也需要跟上。如果在编写代码的时候就能内置安全性,软件开发也将提速,安全性也会提升。 新思科技(Synopsys, Nasdaq: SNPS)近日已全面推出适用于 IntelliJ集成开发环境的 Code Sight™ 标准版解决方案。此前,新思科技已经推出可用于Visual Studio Code集成开发环境 (IDE)的Code Sight标准版,是Code Sight插件的独立版本,帮助开发人员在提交代码前就能够快速查找和修复源代码、开源依赖项、基础架构即代码等文件中的安全缺陷。 添加对 Intelli
[半导体设计/制造]
<font color='red'>新思科技</font>推出适用于IntelliJ集成开发环境的Code Sight标准版解决方案
Synopsys与安博教育共同打造中国集成电路人才培养生态体系
全球第一大芯片自动化设计解决方案提供商及全球第一大芯片接口IP供应商、信息安全和软件质量的全球领导者Synopsys今日宣布与中国教育的领航企业安博教育集团强强联手,正式建立战略合作关系,双方将在集成电路专业人才培养、产学合作、行业交流、教育项目等领域深化交流,加强合作,努力打造中国集成电路专业人才培养生态体系,为中国集成电路产业发展提供更加专业高效、具备创新能力和实践经验的高端人才资源。  Synopsys中国董事长兼全球副总裁葛群表示:“人才是加速科技创新的核心驱动力。中国集成电路产业进入跨越式发展阶段,大量需求造成优秀的专业人才成为紧缺资源。作为行业全球领军企业,Synopsys一直视产业需求为己任,将人才培养作为企业发
[半导体设计/制造]
Synopsys助力 英飞凌3G基带处理器设计成功
  新思科技有限公司(Synopsys Inc.)日前宣布:英飞凌科技(西安)有限公司通过采用新思完整的、基于统一功率格式(UPF)的低功耗综合、物理实现和验证流程,完成了国内首款采用40nm工艺技术的3G智能手机基带处理器设计,并按照时间计划成功实现一次流片成功。   为了达到芯片设计目标,英飞凌确定了在设计过程中采用了Synopsys全套实施流程,包括Design Compiler编译器、ICC布局工具等,同时引入新思的知识产权(IP)和支持服务。同时,还结合了英飞凌在移动通信基带芯片领域里丰富的经验和工程师的创新能力。   以西安为核心开发的X-GOLD 626处理器成为了英飞凌新一代的3G基带处理器,它不仅具有极高的性
[手机便携]
新思科技旗舰产品 Fusion Compiler助力客户实现超 500 次流片
新思科技旗舰产品 Fusion Compiler助力客户实现超 500 次流片,行业领先优势进一步扩大 助力客户性能提升20%,功耗降低15%,面积缩小5% 摘要: •流片范围覆盖5G 移动、高性能计算、人工智能、超大规模数据中心等细分市场中40 纳米至 3 纳米设计。 •众多领先半导体公司利用新思科技Fusion Compiler紧密的生产部署,进一步实现行业竞争优势。 加利福尼亚州山景城,2021 年 12 月 3日 -- 新思科技(Synopsys, Inc.)宣布,自 2019 年 Fusion Compiler™ RTL-to-GDSII 解决方案正式发布以来,采用该解决方案的客户已实现超过500次流
[嵌入式]
首期一亿美元!Synopsys宣布在中国设立战略投资基金
电子网消息,全球第一大芯片设计自动化EDA软件供应商及全球第一大芯片接口IP供应商、软件质量和安全解决方案的全球领导者Synopsys宣布将在中国成立新的战略投资基金,第一期基金规模为一亿美元。这是Synopsys首次在中国设立投资基金。 Synopsys中国战略投资基金将由Synopsys中国负责管理和运营。基于对全球集成电路产业发展和技术演进的深刻理解,结合在中国产业的积累,该投资基金将致力于与中国本地企业和投资机构携手合作,广泛拓展芯片设计、人工智能、云计算和大数据、物联网、软件安全、EDA工具及IP等前沿技术领域。 该投资基金将重点关注创新企业的加速成长,为创业者提供丰富的资源和网络,共同发挥出潜在的市场价值,延伸
[半导体设计/制造]
小广播
最新物联网文章
换一换 更多 相关热搜器件

 
EEWorld订阅号

 
EEWorld服务号

 
汽车开发圈

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved