datasheet

新思科技OSSRA报告,深入分析开源应用的趋势与模式

2019-05-15来源: EEWORLD关键字:新思科技  开源应用

很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。

 

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1,200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。

 

image.png

报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。


image.png

新思科技网络安全研究中心首席安全策略师Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”


2019年OSSRA报告中最值得注意的开源风险趋势包括:

● 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件,每个代码库中平均有298个开源组件,2017年则为257个。

●  开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突,38%的代码库包含没有可识别许可证的开源组件。

● “废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护,也就意味着没有人正在处理其潜在的漏洞。

● 许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年,略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16,500个新漏洞,其明确的修补流程需要扩展以适应增加的披露的漏洞。

● 并非所有的漏洞都相同,但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。


报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:


· 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞,相比2017年的78%已经改善不少。

· 总体而言,开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件,2017年则为74%。


image.png

关键字:新思科技  开源应用

编辑:baixue 引用地址:http://www.eeworld.com.cn/IoT/ic461987.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:从人工智能到云,英特尔开源技术推动软件栈创新
下一篇:Riccardo Di Blasio被任命为Commvault首席营收官

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

新思科技被评为软件组成分析解决方案领导者

迅速创建差异化、定制化的软件,提供卓越的客户体验,是软件开发人员当下面临的主要挑战。为了应对这个挑战,他们往往依赖于开源组件以快速添加应用程序功能。这也带来了新的问题:开源组件安全性和合规性。面对软件组件的分析工具也应运而生。 美国新思科技公司(Synopsys, Nasdaq: SNPS)近日宣布其在权威独立调研公司Forrester Wave™发布的《2019年第二季度软件组成分析报告》中被评为领导者。该报告分析了10家在软件组成分析解决方案(SCA)领域最具影响力的供应商,并且根据33项标准对其进行了评估。这些标准分为三大高级别的类别:现有产品、策略以及市场份额。新思科技黑鸭软件组成分析解决方案在软件开发
发表于 2019-04-23
新思科技被评为软件组成分析解决方案领导者

德赛西威联手新思科技----步入汽车电子虚拟开发新时代

德赛西威(深圳证券交易所股票代码:002920)和新思科技 (Synopsys, Inc.,纳斯达克股票市场代码:SNPS)今日联合宣布展开合作:通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping ),全面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升研发效率。德赛西威将把该技术应用于包括智能座舱和ADAS在内的所有复杂电子系统的虚拟开发和测试。德赛西威总经理高大鹏表示,“汽车智能化对我们客户的产品品质和交付周期都提出了更高的要求,这是一个机遇和挑战并存的时代,我们必须从创新入手,为客户提供高智能、更具竞争力和安全性的汽车电子产品和服务。德
发表于 2019-04-16
德赛西威联手新思科技----步入汽车电子虚拟开发新时代

德赛西威与新思科技联手----步入汽车电子虚拟开发新时代

德赛西威(深圳证券交易所股票代码:002920)和新思科技 (Synopsys, Inc.,纳斯达克股票市场代码:SNPS)联合宣布展开合作:通过使用新思科技提供的虚拟原型开发技术(Virtual Prototyping ),全面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅提升研发效率。德赛西威将把该技术应用于包括智能座舱和ADAS在内的所有复杂电子系统的虚拟开发和测试。 德赛西威总经理高大鹏表示,“汽车智能化对我们客户的产品品质和交付周期都提出了更高的要求,这是一个机遇和挑战并存的时代,我们必须从创新入手,为客户提供高智能、更具竞争力和安全性
发表于 2019-04-16
德赛西威与新思科技联手----步入汽车电子虚拟开发新时代

一平台,多引擎,新思科技全新Polaris 软件完整性平台问市

确保应用程序安全性需要多个部门协调,通常包括开发团队、DevOps团队以及安全团队。开发团队在写代码时查找并修复安全缺陷;DevOps 团队将安全检查无缝集成到 DevOps 工具链中;安全团队在产品组合中,从整体上管理应用程序安全风险。借助一个可靠的平台,各个团队间的协作将更加顺畅。 美国新思科技公司 (Synopsys, Nasdaq: SNPS)新推出的Polaris 平台通过在开发和构建/测试环境中使用相同的强大安全分析引擎,确保整个开发过程中获得一致的结果。 Polaris软件完整性平台将新思科技软件质量与安全的产品和服务的强大功能整合到一个集成解决方案中,帮助安全和开发团队更快地构建安全、优质的软件
发表于 2019-03-14
一平台,多引擎,新思科技全新Polaris 软件完整性平台问市

​新思科技发布2018.12新版Coverity 静态应用安全测试解决方案

增强企业应用安全测试的广度、深度和可扩展性美国新思科技公司 (Synopsys, Nasdaq: SNPS)宣布发布其最新版的Coverity静态应用安全测试(SAST)解决方案,这能帮助各类机构更快地构建安全的应用程序。Coverity最新版本解决了企业应用安全开发团队日益增长的三大需求:可扩展性、多种编程语言和框架支持,以及全面的漏洞分析。新思科技软件质量与安全部门亚太区董事总经理陈玉贞表示:“现今各类机构不断扩大其应用程序阵容,它们更大程度地依赖软件来执行关键业务功能并提供客户价值,与此同时,应用程序漏洞仍然是网络攻击最常见的攻击载体。这意味着企业应用程序安全团队必需能够评估其不断增长、且日益多样化的应用程序中的漏洞
发表于 2019-01-14
​新思科技发布2018.12新版Coverity 静态应用安全测试解决方案

大多数电信服务提供商对OPNFV加速开源NFV应用的承诺充满信心

对OPNFV项目随时间推移的认知度。数据包括对OPNFV在运营商中的状态和影响的更新分析,在形成开源NFV中发挥的作用,有哪些行业利用OPNFV推进生产,以及当前开源NFV应用走向成功面临的推动因素、障碍和整合需求等。主要发现包括:· OPNFV对于NFV的行业应用一直非常重要。在接受调查的电信运营商中,有98%表示对OPNFV在履行其加速开源NFV应用的承诺方面比较满意或者非常满意,而近一半(45%)的受访者认为OPNFV对运营商实现其NFV目标非常有帮助。OPNFV能够带来的最大优势包括更容易集成和更快地部署NFV。· OPNFV的重要性越来越高,特别是在目前部署了NFV的企业中。近一百名受访的通信服务提供商(CSP)中有一半以上(54
发表于 2017-06-14

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD.com.cn, Inc. All rights reserved