1、box;font-size: 16px;padding-top: 8px;padding-bottom: 8px;color: rgb(0, 0, 0);font-family: Optima-Regular, Optima, PingFangSC-light, PingFangTC-light, "PingFang SC", Cambria, Cochin, Georgia, Times, "Times New Roman", serif;text-align: justify;white-space: normal;line-height: 1.75
2、em;margin-top: 20px;美国新思科技公司近日发布了2020 年开源安全和风险分析报告(OSSRA),该报告基于 500 多个受访者的数据、Snyk 年度调查、Snyk 漏洞数据库、众多项目数据以及三个存储库中(GitHub、GitLab 和 BitBucket)开源软件包的数据,重点介绍了在商业应用程序中开源应用的趋势和模式,并且提供见解和建议,以帮助企业从安全性、许可证合规性和操作角度更好地管理开源风险。 下面总结了该报告中最值得注意的开源风险趋势:开源采用率持续增长。99% 的代码库包含至少一些开源组件,每个代码库中平均有 445 个开源组件,比 2018 年
3、的 298 个有显著增加。被审计的代码中有 70% 是开源代码,这一数字比 2018 年的 60% 大了许多,相比 2015 年的 36% 更是几乎翻了一番。 过期和“废弃”的开源组件非常普遍。91% 的代码库包含已经过期四年以上或者近两年没有开发活动的组件。除了存在安全漏洞的风险之外,使用过期开源组件更大的风险在于更新时带来的不必要功能和兼容性问题。 易受攻击的开源组件使用率再次呈上升趋势。2019 年,包含易受攻击的开源组件的代码库的比例从 2017 年的 78% 下降至 2018 年的 60% 之后又增至 75%。同样的,包含高风险漏洞的代码库比例由 2018
4、 年的 40% 增至 49%。幸运的是,2019 年审计的代码库中都没有受到臭名昭著的 Heartbleed 漏洞与 2017 年困扰 Equifax 的 Apache Struts 漏洞的影响。 开源许可证冲突使知识产权持续面临风险。尽管开源软件拥有“免费”的优势,但它与其它软件一样都要受到许可证的约束。67% 的代码库包含某种形式的开源代码许可证冲突,33% 的代码库包含没有可识别许可证的开源组件。许可证冲突的发生率因行业而异,最高为互联网和移动应用行业的 93%,最低为虚拟现实、游戏、娱乐和媒体行业的 59%。https:/ section data-role=outer label=Powered
