报告突出了对业务开放源代码的安全风险
大多数软件包括已知的漏洞和许可冲突,作为开源采用飙升,报告显示。
Synopsys报告的黑鸭是基于分析围绕九个行业审计的匿名DataFrom的分析,包括汽车,网络安全,金融服务和医疗保健。
2018年开源安全和风险分析(OSSRA)报告突出了开源采用中的实质性,96%的应用程序扫描包含开源组件。
数据还表明,与前一年相比,每个码基(257)的平均开源组件数量增长75%,其中许多应用程序包含比专有代码更多的开源。
该报告称,它令人担忧的是,78%的码码包含至少一个开源漏洞,平均每码比例为64个漏洞。
超过54%的审核码广告中发现的漏洞被认为是高风险的漏洞。
包含Apache Struts的审计码段中的三分之一也具有导致Equifax漏洞的漏洞,而17%则包含高度公布的漏洞,例如Heartbleed,Logjam,Freak,Drown或Poodle。
“由于现代软件和基础设施依赖于开源技术,因此有清晰的使用组件观点是企业治理的关键部分,”Cir Imagkys Synopsys的技术福音师表示。
“该报告清楚地表明,随着开源使用的增长,组织需要确保他们有能够检测开源组件中的漏洞的工具,并管理他们使用开源的任何许可证合规性可能需要的许可。”
在每个行业的应用中都发现了易受攻击的开源组件。互联网和软件基础设施垂直比例最高,其中67%的应用程序包含高风险开源漏洞。
具有讽刺意味的是,该报告称,网络安全行业的41%的应用程序被发现有高风险的开源漏洞,使垂直于第四次最高风险。
该报告显示,组织允许越来越多的脆弱性,以在其核准中积累。平均而言,审计中确定的漏洞均在近六年前披露。
“当通过Apache Struts漏洞突破Equifax时,对开源安全管理的需求成为主页新闻,”黑鸭产品营销经理称为OSSRA报告。
“即使它在2017年3月披露,许多组织显然仍然没有检查他们的漏洞漏洞的申请。”
根据调查结果,74%的审计审计也包含了许可冲突的组成部分,其中最常见的是一般公共许可(GPL)违规行为。
垂直许可冲突的百分比百分比范围从零售和电子商务行业的相对低于电信和无线行业的高度为61%,其中100%的代码扫描有某种形式的开源许可冲突。
随着代码库景观变化,报告称,组织的应用程序安全计划还需要发展以继续有效。
据报道,没有单一技术可以找到每个漏洞,所以除了静态和动态代码分析之外,组织还需要确保软件成分分析(SCA)在其应用程序安全工具界中。
报告称,“随着SCA的添加,组织可以有效地检测开源组件中的漏洞,因为他们管理他们使用开源的任何许可证可能需要的许可证。”
通过将策略,流程和自动化解决方案集成到软件开发生命周期中来识别,管理和安全的开源,该报告所述组织可以最大限度地提高开源的好处,同时有效地管理其漏洞和许可风险。