首页
新闻资讯
IDC新闻 IDC设施 IDC节能 云计算 大数据 5G&6G 互联网 开放计算 健康科技 金融科技 IDC圈时评 一周最HOT IDC建设月报 国际资讯(中文) 国际资讯(英文)
东数西算
政策法规 新闻动态 产业访谈 技术案例 节点集群 东数西算百家谈
产业名录
IDC服务商名录 云服务商名录 设备厂商名录 数据中心机房 数据中心园区 《资讯大全》
研究报告
全国报告 区域报告 城市报告 海外报告 机电报告 热门/推荐报告
行业会议
IDCC大会 数据中心 云计算 大数据 IT科技 “云”会议
百家观点
东数西算百家谈 名家大讲堂 直击新基建 We访谈Online 数据中心60S IDCC现场直击
企业俱乐部
会员动态 走进会员企业 俱乐部活动 高层专访 数字匠人 加入企业
生态服务
数据中心点亮计划 IDC访谈室 会议服务 人才服务 咨询服务 数字产业服务 资本服务 全球新基建 数字化转型 技术认证咨询 专题 IDC点评网
热搜词: 算力调度 互联网交换中心 数据中心枢纽节点 IDC产业大会
×
IDC首页 > 互联网 > 文章页
开源软件的2022年:风险常态化 or 新拐点
2022年,以灵活性、迭代速度、成本效益为驱动力,社区里的一群开发人员和科技企业依然凭热情、创新和持续贡献代码给开源注入新活力。
作者:孙伟敬
来源:中国IDC圈
2022-05-31 21:12

开源理念可以追溯到1980年的大型机时代,从杂志版面连载的代码共享,到一群人聚集到一个社区为爱发电,一起贡献代码,分享互惠,然后是大家根据行业需求,开发新功能和应用为己所用,尤其开源软件能让企业摆脱厂商锁定,迅速提升自身技术能力,缩短软件开发进程,有效节省开支。

如今,开源成为了我们所依赖的应用基础,而伴随着开源为企业带来的巨大成功,其风险问题也层出不穷。尤其2021年底,在被广泛采用的Apache Log4j程序中新发现的零日漏洞,也被认为是业内近十年来最严重的安全漏洞,凭一己之力让全球众多企业和政府机构开始重新审视自身使用的软件的开源代码问题以及识别、跟踪和系统管理开源代码对应用安全的重要性。

经历开源问题年后,风险常态化 or 新拐点

报告封面

《2022年开源安全和风险分析》报告(OSSRA)

近日,新思科技发布了《2022年开源安全和风险分析》报告(OSSRA),由Black Duck审计服务团队分析了2409个商业和专有代码库,其中87%(即2097个)实施了安全与风险评估。报告强调了在商业和专有应用中使用开源的趋势,介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃组件及许可证合规性问题。

微信图片_20220531205740

在2097个代码库中,85%的代码库里包含至少四年未更新的开源代码,88%的代码库中包含过时版本的组件,5%的代码库含有易受攻击的Log4j版本。这也表明了企业机构使用过时的开源组件仍是常态。

不过,经历了一波三折的2021年开源问题年,2022年OSSRA报告中显示,被审代码库中包含至少一个高风险开源漏洞的代码库数量达到49%,相比2021年减少11%。包含至少一个公开开源漏洞的代码库数量为81%,与 2021 年 OSSRA 的调查结果相比减少了3%。而存在许可证冲突的代码库数量为53%,相比2021年的调查结果下降了12%。

发言人照片

新思科技开源治理专家王永雷

新思科技开源治理专家王永雷称,安全漏洞对开源影响越来越大,近年来更是没有一个数量减少的趋势,但在2022年有所减少,虽然不是很大,但希望是一个拐点。

行业应用中的安全漏洞情况

从2022年报告中可以看出,调研的17个行业包含开源代码库的占比均达到90%以上,而且很大一部分代码库容易被利用和攻击。其中,计算机硬件及半导体、网络安全、能源与清洁科技、物联网占比高,达到100%,占比最低的医疗保健,健康科技和生命科学行业也达到93%。

在航空航天、汽车、运输和物流行业,97%的代码库中包含开源代码,60%的代码由开源代码组成,并且发现这些行业60%的代码库中存在开源漏洞。

互联网和移动应用行业也有类似情况。99%的代码库中包含开源代码,80%的代码由开源代 码组成,56%的代码库中存在开源漏洞。

各行各业都会在软件开发以及后续应用期间出现相同的安全漏洞问题,无法避免,只能面对,对此,王永雷分享了软件开发流程的供应链风险。

微信图片_20220531210049

左侧是整个软件开发过程里的源代码,通过软件构建最后连接到消费者信息,整个ABCDEFG过程中,任意一点都有可能受到潜在攻击或者被污染。尤其是E,依赖组件被污染,当开发人员在构建软件时会引入很多外部依赖包,这些依赖包下的逐级依赖被隐藏,导致开发人员完全没意识到使用了这么多开源组件,而一旦组件被污染,就会面临高风险问题。

微信图片_20220531210201

标准风险管理服务中不包含软件供应链,关注点不在软件,也不热衷软件漏洞的态势变化,但软件供应链是风险管理模型之一,尤其近年引发企业重视。其实软件供应链和制造供应链有点类似,比如近期一家汽车制造厂就是因为上游供应链连接的小规模零部件供应商被网络攻击,导致制造厂的零部件管理系统中断,最后直接影响了上万台汽车的产量。

服务不持续就可能会影响整体业务,但软件供应链目前还未引起大众足够的重视,新思科技发现第三方开发的大多数软件,每个应用平均有包含508个第三方库组件,而这些组件里面还会有关联的漏洞。

微信图片_20220531210242

王永雷指出,近两年,国内外非常关注开源供应链,国际标准ISO 5230就是从一个开源项目开放链(Open Chain)衍生而来,新思科技也参与了标准制定,ISO 5230提供了一个上下游供应链指导规范,有统一的数据交换格式Software Package Data Exchange,传输数据前提前规范数据中字段代表的含义,统一标准,降低成本,这也是构建一个核心可信的供应链的基石。

而新思科技提供一整套端到端安全解决方案,包括检测工具、软件和服务等,能在整个软件开发过程中帮助企业更好地管理开源风险,妥善控制开源供应链风险。在国内开源领域,新思科技深度参与了中国信通院牵头的《开源安全深度观察报告》、《开源合规指南(企业篇)》等一系列开源权威研究报告及白皮书的编写。此外,新思科技的Black Duck,也再次以高分通过中国信通院今年的可信开源治理工具评估。

最后

2022年,以灵活性、迭代速度、成本效益为驱动力,社区里的一群开发人员和科技企业依然凭热情、创新和持续贡献代码给开源注入新活力。当企业基于这些开源社区的代码“砖”创新出行业应用“城堡”时,也要懂得如何妥善管理开源软件,今年许可证冲突问题和高风险漏洞数量有所减少,但经过审计的代码库中有超过一半仍然存在许可证冲突,近一半包含高风险漏洞,这些问题不容忽视。

开源软件 开源安全 2022年开源安全和风险分析

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-03-07 14:17:16
市场情报 新思科技助力三星SDS公司落实开源生命周期战略
尤其是在移动和云计算等领域,开源软件在蓬勃发展的生态系统中发挥着越来越重要的作用。 <详情>
开源软件 开源管理 三星SDS
2023-02-24 18:59:10
市场情报 新思科技发布《2023年开源安全和风险分析》报告
企业只有拥有了完整的清单,才能制定战略以应对Log4Shell 等新的安全漏洞带来的风险。 <详情>
开源技术 开源安全 开源风险
2022-05-20 18:06:06
互联网 新思科技发布《2022年开源安全和风险分析》报告
开源许可证冲突和漏洞风险有所下降,但88%的被审代码库中包含未更新开源组件 <详情>
开源安全 开源风险 软件组成分析
2021-01-13 11:37:46
云资讯 开源软件供应链点亮计划正式启动,重构开源生态
国内开源行业存在三方面的问题,分别是开源软件产业价值不高、开源社区贡献不足、开源生态受制于人。 <详情>
开源软件 开源软件供应链 开源生态
2020-03-03 17:28:05
云资讯 SUSE 2020财年开端良好 第一季度业绩强劲
近日—德国纽伦堡 ,全球大的独立开源软件公司SUSE®公布了截止到1月31日的2020财年第一季度财务业绩*和数据亮点。 <详情>
开源软件 SUSE 容器
行业热点:
热门频道:
我们的服务:
Copyright©2001 - 2013 IDCQUAN.com All Rights Reserved. 京ICP备13013182号-1
安全防护BY帝恩思
关于我们 联系我们