开发者在享受开源软件的便利时应该注意两点:合规性以及安全性。未按照开源许可证约定使用开源组件会引发潜在的法律纠纷。另外,开源软件可能存在安全漏洞。开发者在使用开源组件的时候需要注意漏洞的识别,也应采取相应的代码安全审计。
美国新思科技公司 (Synopsys)近日发布了《2018 年开源代码安全和风险分析》(OSSRA)报告。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据,研究的行业包括汽车、大数据、网络安全、企业软件、金融服务、 医疗保健、物联网(IoT)、制造业和移动应用市场。该报告的审计数据由黑鸭子软件公司(Black Duck Software)收集和整合。新思科技已于2017年12月完成对黑鸭子软件公司的收购。
该报告突出显示了开源代码的使用量持续大幅增长,其中96%被扫描应用中存在开源组件。数据还显示在每个代码库中平均有257个开源组件,比2017年的报告数据增长了75%。现在许多应用中包含的开源代码多于专有代码。令人担忧的是,78% 被检查的代码库中至少包含一个漏洞,每个代码库平均包含64个漏洞。这些代码库的漏洞中,超过54%被认为属于高风险漏洞,17%的代码库包含某种常见漏洞,如 Heartbleed、Logjam、 Freak、Drown 和 Poodle。
黑鸭子软件公司技术专员Tim Mackey表示:“现在的软件和基础设施在很大程度上依赖开源技术,对使用的组件有一个清晰的认知是企业管理的关键。报告清楚地表明随着开源代码使用量的增长,企业必须确保他们拥有能够在开源组件中检测漏洞的工具,并且管理使用开源代码过程中可能需要的任何许可证合规性。”
在每个行业的应用中都发现了存在漏洞的开源组件。互联网和软件基础设施垂直行业的应用存在高风险开源漏洞的比例最高,为67%。比较讽刺的是,网络安全行业仍然被发现存在很高比例的高风险开源漏洞,高达41 %,导致该垂直行业处于风险第四高的位置。
除此之外, 被审计代码库中发现包含 Apache Struts(用于创建 Web 应用的开源框架),而在这之中,有 33%含有导致 Equifax 入侵事件的Struts 漏洞。报告明确指出,越来越多的漏洞在企业代码库中积累。平均而言,审计中发现的漏洞大约在 6 年前已经被披露。
黑鸭子软件公司负责OSSRA报告的产品市场经理Evan Klein表示:“当Equifax由于Apache Struts漏洞被入侵发生重大数据泄露时,开源安全性管理需求成为 2017 年的头版新闻。尽管它在2017年3月被披露,许多企业显然仍未检查他们的应用程序是否存在Struts漏洞。”
调查结果显示, 74% 被审计代码库中包含存在许可证冲突的组件,其中最常见的是 GPL (GNU 通用公共许可证)许可证违规。存在许可证冲突的应用在各个行业分布情况不尽相同:零售和电子商务行业为61%,而在电信和无线行业则很高 —— 100% 被扫描代码都存在某种形式的开源许可冲突。
| 相关下载 |
原标题:在《鬼泣5》正式解锁之前,再来看看游戏全部已知消息 《鬼泣5》3月8日就要发售,昨晚本作的媒体评分已经解禁,游戏获得IGN 9.5/10,GameSpot 9/10,PCGamer90/详情>>
《雨中冒险2》是一款非常有趣的冒险游戏,作为系列最新续作,很多小伙伴都被吸引进入游戏,本作有很多物品,这些物品分别有什么效果呢?一些玩家还不是很清楚,感兴详情>>
《NBA 2K16》已经发布一段时间,游戏中玩家“007dd007”发现了部分BUG,下面为大家介绍一下,一起来看看吧。​ 1.球员底线5秒违例 不发球 详情>>
Game234问答中心有网友提出了一个比较有代表性的问题【神魔大陆怎么使用已知的坐标?】,【神魔大陆怎么使用已知的坐标?】具体问题如下:比如5434-7-20。能不能用什么方法快速到这个详情>>
《WWE2K16》曾吹嘘会有超过150名不同的摔跤手可供玩家选择。而排除DLC中新增的人物,《WWE2K16》中确实依然有超过120可玩选手。那么,考虑详情>>
《鬼泣5》3月8日就要发售,昨晚本作的媒体评分已经解禁,游戏获得IGN9.5/10,GameSpot9/10,PCGamer90/100评详情>>
在无限法则3月3日进行更新后,上线了武器皮肤系统,有玩家发现部分武器皮肤会出现bug,对于玩家的反馈官方及时给出公告,感兴趣的小伙伴快来看看无限法则-武器皮肤已详情>>
《APEX英雄》游戏中完成一场对局可以获得不少经验,相信很多玩家已经注意到每一局的经验并不是一样的,有玩家对经验的计算方式进行了研究,并得出了如下结论,感详情>>
《崩坏3》游戏最近的一个新活动——强化战衣开发计划,这个活动已经是第六天了,今天有一个题目是:目前已知的神之键称号不包括什么?下面小编来给大家分享答案。问题:目前已知的神之键称详情>>
《精灵宝可梦LetsGo》本作中同样有一些隐藏物品,这些物品分布在游戏中各个位置,很多玩家都想找到。下面就为大家带来精灵宝可梦LetsGo全已知隐藏物详情>>
《精灵宝可梦LetsGo》有玩家总结了17号道路已知的全部隐藏果子的位置,主要是一些蕉香果、蔓莓果和凰梨果,分别在哪里呢?下面就为大家带来精灵宝可梦Le详情>>
《这是我的战争》DLC最后的广播上线后,很多玩家不眠不休的打出了结局,目前已知两个结局,是怎样的呢?下面就为大家带来这是我的战争DLC最后的广播已知结局一详情>>
本文偏娱乐,笑笑就好别太当真!炉石传说这个游戏开包大概是这个游戏最吸引人的地方了,打开卡包,点住卡牌冒金详情>>
文章相关引用及参考:f4cepa1m(映维网2018年10月24日)Facebook于2018年的OC5大会正式发布了全新的无线VR一体机OculusQuest详情>>
注意:其中只包含该版本的特有问题。请与测试服更新日志配合使用。色盲选项整体夺旗模式界面的自定义颜色效果不详情>>
目前已知的45个将发售的SWITCH游戏(2018年1月至6月)详情>>
荒野行动已知超大BUG,最后才是亮点详情>>
【蓝仓鬼图搞笑片段】已知对话内容 求图图究竟身高多少厘米详情>>
《辐射76》中的Perk全部都以卡片的形式出现,那么都有哪些类型的卡片呢?这些卡片分别都有什么作用呢?今天就为大家分享一篇“functionj”介绍的《辐射76》已知Perk卡片作用效果一览详情>>
在Gamescom2018科隆游戏展的实时光线追踪技术展示环节上,Remedy透露工作室正在开发一款未公布游戏。Remedy目前正在开发《Control》(并拥有该IP)以及《穿越详情>>
楚留香Bug锦集,up自己已知的详情>>
荒野行动:听到此人BGM 我已知自己死亡的命运!详情>>
小编为您搜罗的答案:第二十七站迷失的方向,最后的倒计时“没时间了。”“什么?”笛亚不解的看向唐伍德。“那个,是红眼蔓影术的标记。用不了多久,麦当会失去所有思想和意识,变成空壳一样,影子人。”“详情>>
小编为您搜罗的答案:已知的真相!麦当的决心!陷入黑暗的麦当?!在麦当的内心世界里………“这……这里是哪里啊?"麦当在他的内心世界里,突然,他看见一个跟自己一模一样的影子麦当。“你好啊。”麦当情不自禁详情>>
小编为您搜罗的答案:<p>f(x)=5sinxcosx-(5根号3)cos?x+(5根号3)/2</p><p>=2.5(2sinxcosx)-(2.5根号3)(2c详情>>
使命召唤15已经正式开测,给各位准备加入战斗的朋友们梳理了一下已经公布的10名专家角色的技能。格式为充能大招+标准专家能力(等CD)Ajax(新人盾兵)—盾牌+九连闪Ajax可以透过盾牌上的射击口把详情>>
小编为您搜罗的答案:吴哥窟播放歌手:吴雨霏语言:粤语所属专辑:我本人发行时间详情>>
刺激战场游戏中有两个地方以监狱命名,它们分别是海岛地图中L城西部的监狱,沙漠地图中南部矿山的旁边。这两座监狱虽然名字叫监狱,但是玩家在里面可以自由行动,想进去就进去,想详情>>
也许我们在生活在地球上,人类觉得,地球真的是太大了,做我们最快的飞机去地球的另一面,都需要好多个小时,世界太大了,其实我们只过不是井底之蛙而已,地球和宇宙中最大的星球比起来,真的连一个沙子大小都没有详情>>
《辐射76(Fallout76)》中将会有大量的武器供玩家使用来面对废土世界的种种困难。最近,外网windowscentral根据已经发布的《辐射76》的各种预告片以及文字资料等信息,总结出一份详情>>
在最新一期发售的fami通杂志上刊登了即将于12月1日发售的任天堂第一方独占RPG大作《异度之刃2(XenobladeChronicles2)》详情>>
小编为您搜罗的答案: 暗黑3中2.3补丁PTR测试已知错误都有什么?2.3补丁中已知哪些错误呢?如果你遭遇了其中一项情况,无需再次反馈。那么已知的问题都有哪些?下面就是带来的暗黑3中2.3补丁PTR详情>>
请注意:本文为编辑制作专题提供的资讯,页面显示的时间仅为生成静态页面时间而非具体内容事件发生的时间,由此给您带来的不便敬请谅解!微软今日凌晨零点整开始向Insider用户推送Win10Mobile预详情>>
《火影忍者OL》忍考257怎么过?《火影忍者OL》忍考257阵容搭配推荐。 257本人已知过法攻略汇总: 1,低等级高战Tu过法: 天赋:42224 通灵:高连击(变色0龙,山椒鱼... 详情>>
在刚刚上线PTR的2.6.1补丁中,各大职业都得到了极大的增强,原因可能也是因为现在的死灵法师太过强势,且希... 详情>>
COC游戏商的新作Boombeach如今已经是处于内测当中了,但是游戏中目前还是存在着一些BUG的,本文将收集详情>>