現(xiàn)代應(yīng)用中始終包含大量的開(kāi)源組件，并可能存在安全 性、許可和代碼質(zhì)量問(wèn)題。如何管理開(kāi)源的使用非常重要。對(duì)商業(yè)軟件與開(kāi)源軟件之間的差異越是關(guān)注，結(jié)果就越好。

　　新思科技的年度OSSRA報(bào)告旨在深入剖析商業(yè)軟件中開(kāi)源安全性、合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)的情況，助力企業(yè)開(kāi)發(fā)安全、高質(zhì)量的軟件。

　　美國(guó)新思科技公司  （Synopsys, Nasdaq: SNPS）近日發(fā)布了（2020年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心 （CyRC）制作，研究了由Black Duck審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對(duì)超過(guò)1,250個(gè)商業(yè)代碼庫(kù)的審計(jì)結(jié)果。報(bào)告重點(diǎn)介紹了在商業(yè)應(yīng)用程序中開(kāi)源應(yīng)用的趨勢(shì)和模式，并且提供見(jiàn)解和建議，以幫助企業(yè)從安全性、許可證合規(guī)性和操作角度更好地管理開(kāi)源風(fēng)險(xiǎn)。

　　2020 OSSRA報(bào)告重申了開(kāi)源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用，揭示了過(guò)去一年中經(jīng)過(guò)審計(jì)的所有有效代碼庫(kù)（99%）至少包含一個(gè)開(kāi)源組件，其中開(kāi)源占所有代碼的70%。值得注意的是，老化或廢棄的開(kāi)源組件仍然被廣泛使用，91%的代碼庫(kù)中包含的組件已經(jīng)過(guò)期四年以上或過(guò)去兩年中沒(méi)有開(kāi)發(fā)活動(dòng)。

　　在今年的分析中，最令人擔(dān)憂的趨勢(shì)是未管理的開(kāi)源代碼帶來(lái)的安全風(fēng)險(xiǎn)日益增加，經(jīng)過(guò)審計(jì)的代碼庫(kù)中，75%包含具有已知安全漏洞的開(kāi)源組件，而去年這一比例是60%。同樣，將近一半（49%）的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞，去年則為40%。

　　新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示：“我們很難摒棄開(kāi)源在現(xiàn)代軟件開(kāi)發(fā)和部署中扮演的重要角色；但是卻很容易從安全性和許可證合規(guī)性角度忽略它如何影響應(yīng)用程序風(fēng)險(xiǎn)態(tài)勢(shì)。2020年OSSRA報(bào)告強(qiáng)調(diào)企業(yè)如何持續(xù)努力有效地追蹤和管理其開(kāi)源風(fēng)險(xiǎn)。維護(hù)一個(gè)準(zhǔn)確的第三方軟件組件庫(kù)包括開(kāi)源依賴項(xiàng)，并對(duì)其保持更新是從多個(gè)層面處理應(yīng)用程序風(fēng)險(xiǎn)的關(guān)鍵起點(diǎn)。”

　　想要了解更多，可以點(diǎn)擊下載點(diǎn)擊下載2020年OSSRA報(bào)告