新思科技发布《2020年开源安全和风险分析》报告

发布者:EEWorld资讯最新更新时间:2020-05-27 来源: EEWORLD关键字:新思科技 手机看文章 扫描二维码
随时随地手机看文章

开源组件和库几乎是每个行业中每个应用程序的基础。随着开源软件在商业软件中的使用量日益增加,识别、跟踪和 管理开源的需求也呈现出指数级增长。许可证验证、已知漏洞修补流程、以及处理过时和不受支持的开源软件包的策略,对于负责任地使用开源代码都不可或缺。

 

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布了《2020年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck审计服务团队执行的对超过1,250个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势和模式,并且提供见解和建议,以帮助企业从安全性、许可证合规性和操作角度更好地管理开源风险。

 

2020 OSSRA报告重申了开源在当今软件生态系统中的关键作用,揭示了过去一年中经过审计的所有有效代码库(99%)至少包含一个开源组件,其中开源占所有代码的70%。值得注意的是,老化或废弃的开源组件仍然被广泛使用,91%的代码库中包含的组件已经过期四年以上或过去两年中没有开发活动。

 

在今年的分析中,最令人担忧的趋势是未管理的开源代码带来的安全风险日益增加,经过审计的代码库中,75%包含具有已知安全漏洞的开源组件,而去年这一比例是60%。同样,将近一半(49%)的代码库包含高风险漏洞,去年则为40%。

 

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“我们很难摒弃开源在现代软件开发和部署中扮演的重要角色;但是却很容易从安全性和许可证合规性角度忽略它如何影响应用程序风险态势。2020年OSSRA报告强调企业如何持续努力有效地追踪和管理其开源风险。维护一个准确的第三方软件组件库包括开源依赖项,并对其保持更新是从多个层面处理应用程序风险的关键起点。”

 

2020年OSSRA报告中最值得注意的开源风险趋势包括:


Ÿ   开源采用率持续增长。99%的代码库包含至少一些开源,每个代码库中平均有445个开源组件,比2018年的298个有显著增加。被审计的代码中有70%是开源代码,这一数字从2018年的60%增至目前,并且自2015年(36%)以来几乎翻了一番。

Ÿ   过期和“废弃”的开源组件非常普遍。91%的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的可能性增加之外,使用过期的开源组件的风险在于更新它们还会带来不必要的功能和兼容性问题。

Ÿ   易受攻击的开源组件的使用再次呈上升趋势。2019年,包含易受攻击的开源组件的代码库的比例从2017年的78%下降至2018年的60%之后增至了75%。同样地,包含高风险漏洞的代码库的比例由2018年的40%增至49%。幸运地是, 2019年审计的代码库中都没有受到臭名昭著的Heartbleed漏洞或2017年困扰Equifax的Apache Struts漏洞的影响。

Ÿ   开源许可证冲突持续使知识产权面临风险。尽管开源软件拥有“免费”的优势,但它与其它软件一样都要受到许可证的约束。67%的代码库包含某种形式的开源代码许可证冲突,33%的代码库包含没有可识别许可证的开源组件。许可证冲突的发生率因行业而异,从最高的93%(互联网和移动应用程序)到相对较低的59%(虚拟现实、游戏、娱乐和媒体)。


关键字:新思科技 引用地址:新思科技发布《2020年开源安全和风险分析》报告

上一篇:贸泽电子在线计算器助力电子设计提速
下一篇:下一波人工智能将更加强大

推荐阅读最新更新时间:2024-11-07 06:32

美高森美和Synopsys在新型PolarFire FPGA上合作提供定制综合支持
为 FPGA客户将 Synopsys的 Synplify Pro和Identify RTL调试器 与美高森美的Libero SoC设计套件无缝集成在一起 致力于在功耗、安全、可靠性和性能方面提供差异化半导体技术方案的领先供应商美高森美公司(Microsemi Corporation,纽约纳斯达克交易所代号:MSCC)和电子设计自动化(EDA)软件全球领先公司Synopsys宣布延续其多年OEM协议,合作为美高森美的FPGA客户提供定制的可编程逻辑器件(FPGA) 综合工具。两家公司最近在美高森美于2月发布的新型成本优化、低功耗PolarFire™中等规模FPGA上展开合作,Synopsys还在该器件的早期使用计划期间为美高森美
[半导体设计/制造]
Synopsys推出业界第一款完整的音频IP子系统
亮点: − 预先验证过的硬件及软件子系统显著减少了设计和集成工作量,同时降低了设计风险并缩短了产品上市时间 − 支持具有24位精度的、从2.0到7.1声道音频流,以满足最新的音频标准 − 完整的、集成化软件环境可确保无缝地嵌入到主应用 − 全面的软件音频编解码库, 支持Dolby、DTS和SRS Labs的最新音频标准 − 模拟音频编解码器以96 dB的动态范围为线路输入与输出、麦克风、扬声器和耳机提供高品质连接 − 配置完整的音频IP子系统可在几小时内完成而非几周的时间 加利福尼亚州山景城——2012年4月13日——全球领先的电子器件和系统设计、验证和制造软件及知识产权(IP)供应商新思科技公司(Synopsys, In
[家用电子]
Synopsys推出全新IP子系统以加速物联网设备中的数据融合处理
亮点: 集成化的、预先验证过的IP子系统包括可支持高效DSP性能的最新低功耗DesignWare ARC EM9D和EM11D处理器 通过在处理器处于休眠模式时实现数据传输,内置的微型DMA控制器提供了4倍速的访问时间和更低的系统级能耗 和分立解决方案相比,紧密耦合的存储器、外设和硬件加速器将功耗降低高达85% 软件驱动程序和一个品种丰富的DSP函数库加快了应用软件开发,DSP函数库包括快速傅里叶变换(Fast Fourier Transform,FFT)、离散余弦变换(Discrete Cosine Transform,DCT)、有限脉冲响应(Finite Impulse Response,FIR)滤波器和无限脉冲
[物联网]
辅助驾驶与无人驾驶是国产汽车厂商的机会
辅助驾驶与 无人驾驶 却和 半导体 完全不同,因为这个行业是全新行业,到现在也没有哪一家在该领域有垄断性优势,中国期望利用纯电动车平台来发展无人驾驶,最终成为无人驾驶产业领导者之一。   在汽车及相关产业链市场,中国正酝酿大计划。多年来,中国一直扮演追随者角色,无论是技术、可靠性、地位,甚至在中国自己政治统辖内的市场份额,都不及日本、欧洲和美国汽车厂商。如今,中国正制定政策,协调推进国内厂商自主研发与制造能力,以抓住当前智能辅助驾驶与无人驾驶汽车产业机会。   这个战略发展顺利的话对中国有多重意义。首先,它直接关系到中国的贸易逆差,中国在半导体方面每年贸易逆差约为1500亿美元;其次,它将中国从一个主要污染源变成全球清洁能源的领导
[嵌入式]
ARC HS系列新领袖 :Synopsys家的RISC和DSP组合产品HS4xD出道
Synopsys的DesignWare ARC处理器是一系列的32位cpu的组合,SoC设计人员可以根据不同的应用需求,使用获得专利的可配置技术对其进行裁剪,从而加速了高性能SoC的开发。其中的ARC HS系列是面向高端嵌入式应用的高速多核处理器,随着嵌入式设计对控制和信号处理双重需求的不断增加,Synopsys家决定将HS系列新领袖换换血,将RISC和DSP组合在一起,推出HS4x/HS4xD处理器家族,家族成员分别为HS44、HS46、HS48、HS45D、HS47D,增强了RISC和DSP性能,其中型号中带D(HS45D、HS47D)的为内嵌DSP的处理器。 (RISC+DSP)组合的特性 HS45D和HS47D这
[嵌入式]
ARC HS系列新领袖 :<font color='red'>Synopsys</font>家的RISC和DSP组合产品HS4xD出道
德赛西威联手新思科技----步入汽车电子虚拟开发新时代
德赛西威(深圳证券交易所股票代码:002920)和新思科技 (Synopsys, Inc.,纳斯达克股票市场代码:SNPS)今日联合宣布展开合作:通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping ),全面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升研发效率。德赛西威将把该技术应用于包括智能座舱和ADAS在内的所有复杂电子系统的虚拟开发和测试。 德赛西威总经理高大鹏表示,“汽车智能化对我们客户的产品品质和交付周期都提出了更高的要求,这是一个机遇和挑战并存的时代,我们必须从创新入手,为客户提供高智能、更具竞争力和安全性的汽车电子产品和服务
[汽车电子]
德赛西威联手<font color='red'>新思科技</font>----步入汽车电子虚拟开发新时代
软件如何推动汽车行业发展
现代汽车越来越多地成为敏感个人数据的移动接入点。源代码和设计的缺陷、未打补丁的漏洞和应用安全实践不足都可能将您的软件和您的客户数据置于风险之中。因此,汽车制造商必须关注软件安全以保证现代汽车的安全。   新思科技 安全技术部副总裁Gary Mcgraw认为,汽车制造商必须高度关注现代汽车的软件完整性—— 质量与安全。软件完整性与他们现在所关心的冶金轴承、防撞安全气囊、安全带和材料等一样重要。   相对来说,软件是一种新的人工产品。如今,即使我们的智能手机和物联网设备变得越来越易于使用,但软件其实越来越复杂。很有趣的是,表面上看起来很简单的软件应用,其实背后的代码却十分复杂。而这种复杂性有机会被网络黑客等利用。   在现代社会,软
[嵌入式]
Synopsys兼并Synplicity意义何在?
  Synopsys公司宣布它已经签署以每股Synplicity股票8美元的现金兼并Synplicity的最后协议。总交易大约2.27亿美元,其中,兼并大约付出1.88亿美元的纯现金。Synplicity公司股票收盘价为5.32美元,因此,Synopsys公司所提供的价格仅仅比市场价溢价50%稍多一点。因为市场挥发性一直高企且大多数处于下降通道,所报出的价格代表Synopsys一种兼并策略,因之前谣传Cadence也在考虑兼并该公司,Synopsys此举就是一种预防性打击。兼并有望在2008年第二季度完成,然后,接受规则审核——即Synplicity公司的股东的批准,以及其它的惯例收官条件。   Synplicity总裁兼首席执
[焦点新闻]
小广播
最新物联网文章
换一换 更多 相关热搜器件
随便看看

 
EEWorld订阅号

 
EEWorld服务号

 
汽车开发圈

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved