报告突出了对业务开放源代码的安全风险
ai是保持IBM符合GDPR的关键
为什么微软强迫Windows 10上周五升级
Liberty Global选择思科来改造客户服务行动
5克为英国PLC的变形性,但潜在的影响仍然模糊
空中客车说,飞机制造商的网络安全最优先事项
四分之三的消费者与人工智能互动
亚马逊Chime在WebEx之后,Skype for Business等等
更新:Quicken转移到软件订阅模型
OpenReach推出苏格兰纤维培训学校
微软宣布了一系列医疗保健举措
以色列指责哈马斯利用间谍应用程序到目标士兵
Ofcom为英国固定无线网络制定了计划
立法恢复过遏制禁令的地理位置跟踪
HPE获取安全启动Niara以提高其清除通道组合
来自Rstudio会议的最佳提示和外卖
前GCHQ老板表示,LORCA将有助于推动英国网络出口
Citrix Bolsters虚拟化商品,与Microsoft Azure集成
安全智库:数据流可见性对安全至关重要
Bduk拥有200万英镑的踢球 - 开始农村全纤维网络建设
新加坡职业网站由页面恶意软件恐慌命中
兄弟姐妹在可能是意大利最严重的春季案例中被捕
Pythonnet将Python介绍给Microsoft .NET
Godaddy推出超简单的网站建设者。因为,对于Godaddy来说,托管是钱的在哪里
DWP终于发布了通用信用业务案例
组织准备采用Devops来电力数字转型
微软为其.NET语言奠定了未来的方向
HMRC停用假网站的记录编号
Zoho架设了另一种产品,发射结账
eudca董事会成员表示,Datentre行业必须停止为可持续发展做出可持续性
俄罗斯的网络人为美国竞选黑客归咎于现在的目标
Apple加入无线电力集团,充电iPhone 8谣言
A.I.应该帮助,不要取代工人,说IBM和Microsoft的首席执行官
Visual Studio Cloud IDE会变得更加聪明地构建
PAC疑惑司法系统转型计划将取得成功
datentre diy:巨大的云巨头可以负担得起他们的派对合作伙伴吗?
Mindflix让你用你的想法控制Netflix
Apple在智能手机市场跨越三星,由Note7崩溃帮助
Microsoft在几个月内没有移动Windows 10针
现代战争:造成死亡的无人机......非法停车?
中小企业提供商接管剑桥郡公共部门网络合同
FTC充电Qualcomm与反竞争芯片策略
Tech Luminaries团队享受2700万美元的伦理基金
芬兰政府审查集中的网络防御
年度IPA报告显示主要政府IT项目的州
没有适当的验证,Godaddy唤起了近9,000个SSL证书
IBM为可穿戴设备的集线器可以让您更快地离开医院
欧洲基础设施云交易成长,因为合同尺寸缩小
企业中的应用地点
2018年英国最有影响力的女性:进入名人堂的参赛者
您的位置:首页 >论坛 > 移动互联 >

报告突出了对业务开放源代码的安全风险

2021-08-05 18:44:16 [来源]:

大多数软件包括已知的漏洞和许可冲突,作为开源采用飙升,报告显示。

Synopsys报告的黑鸭是基于分析围绕九个行业审计的匿名DataFrom的分析,包括汽车,网络安全,金融服务和医疗保健。

2018年开源安全和风险分析(OSSRA)报告突出了开源采用中的实质性,96%的应用程序扫描包含开源组件。

数据还表明,与前一年相比,每个码基(257)的平均开源组件数量增长75%,其中许多应用程序包含比专有代码更多的开源。

该报告称,它令人担忧的是,78%的码码包含至少一个开源漏洞,平均每码比例为64个漏洞。

超过54%的审核码广告中发现的漏洞被认为是高风险的漏洞。

包含Apache Struts的审计码段中的三分之一也具有导致Equifax漏洞的漏洞,而17%则包含高度公布的漏洞,例如Heartbleed,Logjam,Freak,Drown或Poodle。

“由于现代软件和基础设施依赖于开源技术,因此有清晰的使用组件观点是企业治理的关键部分,”Cir Imagkys Synopsys的技术福音师表示。

“该报告清楚地表明,随着开源使用的增长,组织需要确保他们有能够检测开源组件中的漏洞的工具,并管理他们使用开源的任何许可证合规性可能需要的许可。”

在每个行业的应用中都发现了易受攻击的开源组件。互联网和软件基础设施垂直比例最高,其中67%的应用程序包含高风险开源漏洞。

具有讽刺意味的是,该报告称,网络安全行业的41%的应用程序被发现有高风险的开源漏洞,使垂直于第四次最高风险。

该报告显示,组织允许越来越多的脆弱性,以在其核准中积累。平均而言,审计中确定的漏洞均在近六年前披露。

“当通过Apache Struts漏洞突破Equifax时,对开源安全管理的需求成为主页新闻,”黑鸭产品营销经理称为OSSRA报告。

“即使它在2017年3月披露,许多组织显然仍然没有检查他们的漏洞漏洞的申请。”

根据调查结果,74%的审计审计也包含了许可冲突的组成部分,其中最常见的是一般公共许可(GPL)违规行为。

垂直许可冲突的百分比百分比范围从零售和电子商务行业的相对低于电信和无线行业的高度为61%,其中100%的代码扫描有某种形式的开源许可冲突。

随着代码库景观变化,报告称,组织的应用程序安全计划还需要发展以继续有效。

据报道,没有单一技术可以找到每个漏洞,所以除了静态和动态代码分析之外,组织还需要确保软件成分分析(SCA)在其应用程序安全工具界中。

报告称,“随着SCA的添加,组织可以有效地检测开源组件中的漏洞,因为他们管理他们使用开源的任何许可证可能需要的许可证。”

通过将策略,流程和自动化解决方案集成到软件开发生命周期中来识别,管理和安全的开源,该报告所述组织可以最大限度地提高开源的好处,同时有效地管理其漏洞和许可风险。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。