开源代码已经深深扎根在现代软件开发之中,甚至代码拥有者通常都不知道自己的软件中包含开源组件。开源管理不到位,可能会给企业造成负面舆论,甚至导致经济损失。尤其在并购交易中,双方务必要及早了解目标代码库中的潜在开源风险、安全漏洞和代码质量问题。尽管2022年经济走势不明朗,科技领域的并购也相应放缓,但经过新思科技审计的代码库数量依然可观。
新思科技(Synopsys, Nasdaq: SNPS) 近日发布了《2023年开源安全和风险分析》报告(2023 OSSRA)。该报告是OSSRA的第八个版本,由新思科技网络安全研究中心 (CyRC) 编制,分析了1,700 多项并购交易中涉及的商业和专有代码库的审计结果。该报告揭示了 17 个行业的开源使用趋势。
2023 OSSRA报告深入探讨了商业软件中开源安全、合规、许可证和代码质量风险的现状,以帮助安全、法律、风险和开发团队更好地把握开源安全和许可风险形势。今年的调查结果显示,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,较2022年调查结果增加了近 4%。
企业想要降低来自开源、专有和商业代码的业务风险,首要就是构建其使用的所有软件的全面清单——软件物料清单 (SBOM),无论这些软件是来自何处或如何获取。企业只有拥有了完整的清单,才能制定战略以应对Log4Shell 等新的安全漏洞带来的风险。
新思科技软件质量与安全部门总经理 Jason Schmitt 表示:“2023 OSSRA 报告强调了开源是当今绝大部分软件构建的基础。在今年的审计中,开源组件的平均数量增加了 13%(从 528 增加到 595)。这个数据进一步凸显了实施全面的 SBOM 的重要性。SBOM列出了应用中的所有开源组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来理解和降低业务风险的基本策略。”
2023 OSSRA 报告的主要发现包括:
根据过去五年OSSRA报告的数据,开源采用率显著提高:这几年,教学更多地转向线上,师生在线互动增多,进而推动了教育软件的应用,开源组件的采用也大幅提升,增长了 163%;其它行业包括航空航天、汽车、运输和物流行业,开源的采用率激增了97%;制造业和机器人领域对开源的采用率增长了 74%。
过去五年,高风险漏洞增加速度惊人:自 2019 年以来,零售和电子商务行业的高风险漏洞激增了557%;物联网 (IoT) 领域,89%被审计的代码是开源,同时,高风险漏洞增加了 130%;同样,航空航天、汽车、运输和物流垂直领域的高风险漏洞增加了 232%。
与使用许可组件的企业相比,使用没有许可的开源组件会使企业面临更大的违反版权法的风险:报告发现,31% 的代码库使用没有可识别许可证或具有定制许可证的开源代码。这比去年的 OSSRA 报告增加了 55%;缺少与开源代码相关的许可证或其它开源许可证,可能会对被许可方提出非预期的要求,因此经常需要对潜在知识产权问题或其它影响进行法律评估。
可用的代码质量和安全补丁还未普遍应用于代码库:在经审计的1,480 个含风险评估的代码库中,91% 的代码库包含过时的开源组件。除非企业能够持续使用最新且准确的 SBOM,否则过时的组件可能会被遗忘,直到演变成为易受到高风险攻击的组件。
新思科技软件质量与安全部门安全解决方案高级经理 Mike McGuire 表示:“管理开源风险的关键是保持应用内容的完整可见性。基于可见性,将风险管理构建到应用生命周期中。企业可以凭借必需的信息武装自己,以便采取明智、及时的风险解决方案。企业在采用任何类型的第三方软件时都应该正确地假设它包含了开源。而验证这一点并控制相关风险就像获得 SBOM 一样简单——供应商可以轻松提供并采取必要步骤来保护其软件供应链。” 
