开源的流行与安全风险的增加
时间:2022-04-18 01:15:02 | 来源:行业动态
时间:2022-04-18 01:15:02 来源:行业动态
软件吞噬世界,开源吞噬软件这句话在业界非常流行。新思科技软件质量与安全部门软件应用安全解决方案工程师王永雷表示,从报告涉及的17个行业可以看到,开源代码的比例最低为48%,最高为89%。开源已经成为行业绝大多数应用程序的基础。
另外,从2016年到2020年,开源代码比例呈现线性增长,从2016年的不到40%发展到2020年突破70%。
随着开源变得无处不在,合规风险也随之而来。OSSRA报告显示,95%的营销科技公司的代码库存在开源漏洞;98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞;97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞;92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。
王永雷说,由于疫情影响,线上营销需求旺盛。这就导致营销科技应用程序漏洞的比例非常高。不过,物联网、互联网等行业的安全漏洞比例在下降,主要是由于这些行业的安全意识不断提高。
2020年,包含存在漏洞的开源组件的代码库百分比为84%,较2019年上涨了9%。同样,包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显着增加。
此外,超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。2020年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及GNU通用公共许可证。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险,通常需要进行评估,尤其涉及到合并和收购交易的时候。
在线咨询
