解读 | Synopsys发布2024年开源安全和风险分析陈诉OSSRA

软件供应链管理中，许可证和安全合规性至关告急。开源组件和库可降低风险，但需了解许可证内容。Synopsys 2023年审计发现，凌驾一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证，但也与其他许可证存在不兼容风险。点此获取陈诉原文（中文翻译版本，访问密码：6277）。
  

1. 一些关键发现

1.1. 绝大多数开源软件使用者并没有更新他们使用的组件

2022至2023年间，高风险毛病增长了54%（26个百分点），造成这种情况的缘故原由可能不止一个。比方，有可能是经济衰退和随之而来的裁人导致用于探求和修补毛病的职员数量淘汰。此外，审查发现，91%的代码库包含了比最新版本落后10个或更多版本的组件，由此
可以得出一个简朴的结论：绝大多数开源软件使用者并没有更新他们使用的组件。

1.2. Top 10 的毛病中，有8个都可以映射到同个CWE

CWE-707是CWE 20、79、80、97、937的支柱。CWE-707涉及从上游组件读取数据或发送数据到下游组件之前，没有满意安全需求。不能精确地净化输入可能会带来跨站脚本(XSS) 和SQL注入等毛病使用攻击。
   CWE项目将“支柱缺陷”定义为最高级别的缺陷，是与之相关的全部种别/变体缺陷的基础。如果想深入理解CWE，可以参阅博主文章《「 网络安全常用术语解读 」通用缺陷枚举CWE详解》
  

1.3. 其他关键数据

• 在扫描的1,000多个代码库中，有96%包含开源代码
  
• 77%的源代码和文件来自开源
  
• 53%的代码库存在开源许可证冲突
  
• 84%的代码库在安全风险评估中发现了毛病；74%有高风险毛病
  
• 91%的代码库中包含比最新版本落后10个或更多版本的组件
  

2. 为什么开源软件供应链安全云云告急？

开源软件供应链安全是指确保开源软件在开发、分发和使用过程中的安全性。随着开源软件的广泛使用，开源软件供应链安全变得越来越告急。如果开源软件供应链存在安全毛病，可能会导致严峻的安全风险，比方数据泄露、系统崩溃等。因此，保护开源软件供应链的安全性对于确保软件供应链的安全性和可靠性至关告急。
3. 为什么开发者须要保持开源组件的连续更新？

使用贸易软件的组织都知道，他们的软件会被自动“推送”补丁和更新，大概至少会收到供应商的关照，告诉他们有更新可以下载（通常是非常告急的更新）。但这种情况在开源软件中很少出现，开源软件的使用者须要自己关注组件的状态，自己去下载可用的新版本。
过时的开源组件可能包含已知毛病，这些毛病可能会被攻击者使用。此外，过时的开源组件可能不再得到维护，这意味着开发者无法获得安全更新和补丁。因此，开发者须要定期更新和维护其使用的开源组件，以确保其应用程序的安全性和可靠性。
4. 为什么软件供应链管理须要软件物料清单 (SBOM) ？

SBOM 是一份详细的清单，列出了软件中使用的全部组件、依靠项和许可证信息。通过使用 SBOM，组织可以更好地了解其软件中的组件来源、许可证合规性和安全毛病，从而更好地管理其软件供应链。此外，SBOM 还可以帮助组织服从法规要求，比方美国国家标准与技术研究院 (NIST) 的软件供应链安全指南。
   美国第14028号行政下令 (EO) “提拔国家网络安全”规定，软件供应商必须直接向采购方提供SBOM，大概在公共网站上公开其SBOM，并且当局和非当局方面可能都须要检察SBOM，以确保软件产品符合SBOM的最低要求。
  Black Duck审计团队发现，在2023年审计的代码库中，凌驾一半 (53%) 包含存在许可证冲突的开源软件。下图为常用的Top 10开源软件许可，关于开源软件许可证的详情介绍可参阅博主文章《带你精确认识开源软件》。

   在美国及其他国家，创造性的工作（包括软件）默认会受版权的保护。未经创作者授权，任何人对该软件的使用、复制、分发或修改均不合法。即使最友爱的开源许可证(如MIT、BSD)也会规定用户在使用软件时须要承担的任务。如果代码库中包含的开源代码许可证与该代码库的总体许可证存在冲突，就可能存在潜在的许可证风险。
  5. 参考文件

• Synopsys 2024年开源安全和风险分析陈诉（访问密码：6277）
  

---

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。