雲栖号資訊:【 點選檢視更多行業資訊】
在這裡您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
Synopsys 公司釋出了 2020 年開源安全和風險分析(OSSRA)報告,該報告由 Synopsys 網絡安全研究中心(CyRC)制作,研究了由黑鴨審計服務團隊進行的 1,250 多次商業代碼庫審計的結果。
該報告重申了開源在當今軟體生态系統中的關鍵作用,揭示了過去一年中幾乎所有(99%)的經稽核代碼庫均至少包含一個開源元件,其中開源代碼占總體代碼的70%。
然而更值得注意的是,老化或廢棄的開源元件的繼續廣泛使用,其中 91% 的代碼庫包含的元件已經過時四年以上,或者在過去兩年中沒有開發活動。
此外,更令人擔憂的則是不受管理的開放源代碼帶來的日益嚴重的安全風險的趨勢。經過審計的代碼庫中有 75% 包含具有已知安全漏洞的開源元件;同時,幾乎一半(49%)的代碼庫包含高風險漏洞;兩者比例都實作了同比增長。
報告中開源風險趨勢總結
開源的采用率繼續飙升。99% 的代碼庫至少包含一些開源,每個代碼庫平均有 445 個開源元件,比 2018 年的 298 個有了顯着增加。經過稽核的代碼中有 70 % 被确定為開源,這一數字從 2018 年的 60% 增長到 2015 年(36%)以來的近兩倍。
過時的和“廢棄的”開源元件無處不在。91% 的代碼庫包含的元件或者已經過時四年以上,或者在過去兩年中沒有開發活動。除了存在安全漏洞的可能性增加之外,使用過時的開源元件的風險還在于更新它們還會帶來不必要的功能或相容性問題。
易受攻擊的開源元件的使用再次呈上升趨勢。在 2017 年至 2018 年期間,包含易受攻擊的開源元件的代碼庫所占比例從 78% 下降至 60% 之後;
在 2019 年上升至 75%。同樣,包含高風險漏洞的代碼庫的百分比從 2018 年的 40% 上升到 2019 年的 49%。
開源許可證沖突繼續使知識産權面臨風險。68% 的代碼庫包含某種形式的開放源代碼許可證沖突,而 33% 的代碼庫包含沒有可識别許可證的開放源代碼元件。
許可證沖突的發生率因行業而異,從最高的 93%(網際網路和移動應用程式)到相對較低的 59%(虛拟現實、遊戲、娛樂、媒體)不等。
開源元件洩露的危害
01.風險一:許可證違規
大多數開源軟體都有其釋出許可(License),如果要使用這些開源軟體,應當遵守其許可證(License)的要求,如果在使用開源軟體時沒有遵守其License 要求的各項義務,就是違規使用開源軟體,會造成許可證合規性風險。
開源許可證違規造成的影響可大可小,嚴重時會導緻法律訴訟,造成公司産品的召回、被迫開源自有知識産權代碼等等,而這些事件還可能對公司的聲譽、市場準入等造成長期的負面影響。
02.風險二:安全漏洞
開源軟體也可能存在安全漏洞,使用了存在安全漏洞的開源代碼,安全漏洞會被引入到您的軟體當中。
一些現在沒有安全漏洞的開源軟體(其實是人們還沒有發現其中的漏洞),将來可能會爆出漏洞,如果不能及時知曉這些安全漏洞以及安全漏洞涉及到您的哪些軟體産品,也是一種很大的風險。
03.風險三:自有知識産權代碼洩露
有些公司已經參與到開源大潮當中,成為某些開源項目的貢獻者甚至上司者,在對開源社群進行貢獻時,如何界定和管理自有知識産權的代碼不被開放出去,這點非常重要,如果管理的不好,會造成自有知識産權代碼的洩露風險。
當一些公司作為供應商為其使用者提供軟體産品的時候,也存在自有知識産權代碼洩露的風險。
3.代碼簽名證書的重要性
代碼簽名證書對開發商在所有平台上使用并對其釋出在網絡上的應用軟體和軟體進行數字簽名。代碼簽名可以提供和客戶購買的壓縮軟體同樣的安全性,包括釋出者的名稱,以及避免惡意軟體入侵和其他危害。
代碼簽名證書使用特殊的數字簽名對釋出者的身份和軟體進行綁定。伴随着未簽名代碼一同出現的安全警告被含有軟體釋出者資訊的通知所代替,進而避免使用者放棄安裝并增加下載下傳率,代碼簽名會為安裝過程增加信用度。
代碼簽名證書具有以下優點
· 代碼簽名證書可以保證釋出者的身份無誤且已認證認證。
· 嚴格的稽核過程能夠核實更多關于釋出者的資訊,使假冒合法開發商和擷取僞造證書的難度增大。
· 證書儲存在USB身份鎖上可以降低被盜用的風險。
· 獲得微軟智能螢幕過濾器的即時信譽可以去除終端使用者收到的提示應用軟體可能為惡意軟體的警告資訊
開源大潮不可阻擋,我們既要“擁抱”開源,又要避免其風險,尤其是在市場競争日趨激烈、知識産權保護力度不斷加大、自主可控要求不斷強化的今天,如何安全、合規的使用開源軟體,是我們需要解決的問題。
【雲栖号線上課堂】每天都有産品技術專家分享!
課程位址:
https://yqh.aliyun.com/zhibo立即加入社群,與專家面對面,及時了解課程最新動态!
【雲栖号線上課堂 社群】
https://c.tb.cn/F3.Z8gvnK
原文釋出時間:2020-06-04
本文作者:數多多
本文來自:“
GDCA數安時代數字證書 微信公衆号”,了解相關資訊可以關注“
GDCA數安時代數字證書”