《2020 年开源安全和风险分析（OSSRA）报告》：75% 商业代码库有漏洞，超半数含高风险漏洞

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

近日，Synopsys 公司发布了《2020 年开源安全和风险分析（OSSRA）报告》，总结了目前商业应用程序中开源使用的模式，对存在的风险作了分析，并提出了如何顺应趋势管理开源风险的建议。

Synopsys 网络安全研究中心对 Black Duck Audits 审计服务团队进行的 1250 屡次商业代码库审计结果进行了分析，包括对 物联网、软件基础设施、金融科技、零售电商等 17 个行业的审计结果。

半数代码库包含高风险漏洞

审计发现，2019年每一个代码库平均有 445 个开源组件，比 2018 年的 298 个显著增长。开源组件增长天然加大了漏洞风险，《2020 年开源安全和风险分析（OSSRA）报告》重点强调了开源风险管理问题。

报告显示，2019 年审计的代码库中，有 70% 进行了开源，同比增加 10%。但其中 75% 的代码库中包含已知的安全漏洞，49% 的代码库包含高风险漏洞。

今年 3 月 安全公司 WhiteSource 发布的《开源年度报告》显示，2019 年公开披露的开源漏洞为 6100 个，同比增加 50%。

开源软件在软件开发中扮演着愈发重要的角色，开源软件漏洞对数据安全危害极大。

Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 说：“很难否定开源软件在现代软件开发和部署中扮演的重要角色，可是很容易从安全和许可证合规性的角度忽略开源软件如何影响您的应用程序风险态势。”

五大常见开源组件

报告显示，通过审计的 124 个开源组件一般用于物联网、软件基础设施、金融科技、零售电商等 17 个行业中。其中占比排名前五的开源组件为：

1.jQuery：快速、简洁的 JavaScript 框架；

2.Bootstrap：基于 HTML、CSS、JavaScript 开发的简洁、直观、的前端开发框架，简化 Web 开发过程；

3.Font Awesome：为 Twitter Bootstrap 设计的图标字体；

4.Lodash：一致性、模块化、高性能的 JavaScript 实用工具库；

5.jQuery UI： jQuery 的页面 UI 插件。

识别漏洞是开源管理的关键因素

Gartner 分析师 Dale Gardner 在《软件组合分析技术洞察》中研究软件组合分析的现状时指出：“成熟的组织扩展开源管理，基于软件包的来源对软件总体进行’健康’评估。”

多年来，对管理开源的关注也有所发展。 大多数组织最初都把精力集中在开源许可证识别上，这是任何开源管理的关键部分。随着开源使用的普及，出现了超出许可风险的风险：识别和减轻已知的漏洞，是开源管理的另外一个关键因素。

报告原文下载连接：https://www.synopsys.com/soft...