新思科技最新报告强调了在软件供应链中管理开源风险的核心挑战

近年来,开源软件发展迅猛,在移动互联网、云计算、大数据等领域逐渐形成技术主流。企业和个人在使用、参与或主导开源项目的过程中,一般都会涉及开源组件漏洞及许可证的相关问题。需要注意的是,产生这些问题的并不是开源软件本身,而是对开源软件的不当管理。

新思科技(Synopsys) 近日发布了《2022年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心 (CyRC) 编制,分析了由Black Duck®审计服务团队执行的对2,400多项商业和专有代码库的并购交易审计结果。该报告强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

2022年OSSRA报告强调,开源组件在每个行业都被广泛使用,并且是当今所有应用程序的构建基础。

使用过时的开源组件仍然是常态。易受攻击的Log4j版本也含有过时开源组件。在Black Duck审计服务团队今年分析的2,409个代码库中,87%(即2,097)实施了安全与风险评估*。从运营风险/维护方面来看,在2,097个代码库中,85%的代码库中包含至少四年未更新的开源代码;88%的代码库中包含过时版本的组件;5%的代码库含有易受攻击的Log4j版本。

经过评估的代码库显示,开源漏洞数量总体减少。2,097个代码库经过安全与运营风险评估,其中包含至少一个高风险开源漏洞的代码库数量大幅减少。今年的被审代码库中只有49%包含至少一个高风险漏洞,2021年为60%。此外,81%包含至少一个已知的开源漏洞,与 2021 年 OSSRA 的调查结果相比减少了 3%。

许可证冲突总体上也在减少。 超过一半(53%)的被审代码库存在许可证冲突,与 2020 年的 65% 相比大幅下降。总体而言,特定许可证冲突在 2020 年至 2021 年期间减少了。

30%的被审代码库中都包含无许可证或使用定制许可证的开源代码。如果未经创作者/作者以授权许可证的形式明确允许,其他人则不能合法地使用、复制、分发或修改该软件。没有许可证的软件可能意味着使用开源组件带来的法律风险。定制化的开源代码许可证可能会对被许可方提出非预期的要求,因此经常需要对可能的知识产权IP问题或其它影响进行法律评估。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“使用软件组成分析(SCA)工具的用户已经将重点放在减少开源许可证冲突和解决高风险漏洞上。得益于此,我们今年可以看到许可证冲突问题和高风险漏洞数量已经减少。但是我们不能忽略,经过审计的代码库中有超过一半仍然存在许可证冲突,近一半包含高风险漏洞。更令人不安的是,88%被审代码库中包含过时版本的开源组件。而且往往这些组件有可用的更新版本或补丁,但没有被采用。”

Tim Mackey指出:“没有将软件升级到最新版本的理由有很多。但是,如果企业没有一份清单,准确列明其在代码使用的开源组件,那过时的组件可能就会被遗忘;直到变成一个易受攻击的高风险漏洞,企业才慌忙查找这个组件用在哪里,然后去进行更新。这正是Log4j面临的情况。这也是软件供应链和软件物料清单(software Bill of Materials, SBOM)成为当下行业热点的原因。”

*在2022年的OSSRA报告中,“开源漏洞与安全”以及“开源维护”部分的数据基于包含风险评估的 2,097个代码库,而“许可证”部分的数据则基于全部的2,409个代码库。

关键字:编辑:张工 引用地址:新思科技最新报告强调了在软件供应链中管理开源风险的核心挑战

下一篇:Comodo和AquaOrange软件合作为泰国提供零信任端点保护

最新 imc FAMOS 2023软件,推出全新助手、向导和函数测试数据综合分析的绝佳工具,深受工程师和研究员欢迎2023年3月7日——Axiometrix Solutions工业测试集团旗下制造商imc Test & Measurement,发布了最新版“测量数据后处理分析软件”imc FAMOS 2023。通过配备“全新助手和向导”,可以实现通过提高工作流程效率来提高可用性的目标,并通过复杂的数据导入、分析和可视化功能支持测试工程师、研究人员和技术人员。对于专业演示文稿,全面支持Microsoft 365(Office)。全面、强大、易于使用的——后处理分析软件imc FAMOS 2023用于测试测量数据的可视化与分析,可从任何

据工信微报报道,3月14日,工业和信息化部党组书记、部长金壮龙在党组会议和干部大会上表示,推动集成电路、工业软件产业高质量发展。金壮龙指出,加快实施“十四五”规划重大工程项目,发挥重点地区作用,稳住重点行业发展;提升产业链供应链韧性和安全水平,稳步实施关键核心技术攻关工程,加强产业链关键环节产能储备和备份;加快5G、工业互联网等新型信息基础设施建设和应用,壮大数字经济核心产业,推动集成电路、工业软件产业高质量发展。同时,金壮龙还要求,健全产业科技创新体系,强化企业创新主体地位,推进创新链产业链资金链人才链深度融合,促进科技成果高效转化。值得注意的是,随着2023年全国两会的召开,国内集成电路引发业界高度关注。两会期间,各人大代表针对

Meta 在上个月末发布了一系列开源大模型 ——LLaMA(Large Language Model Meta AI),参数量从 70 亿到 650 亿不等。由于模型参数量较少,只需单张显卡即可运行,LLaMA 因此被称为 ChatGPT 的平替。发布以来,已有多位开发者尝试在自己的设备上运行 LLaMA 模型,并分享经验。虽然相比于 ChatGPT 等需要大量算力资源的超大规模的语言模型,单张显卡的要求已经很低了,但还能更低!最近有开发者实现了在 MacBook 上运行 LLaMA,还有开发者成功在 4GB RAM 的树莓派上运行了 LLaMA 7B。这些都得益于一个名为 llama.cpp 的新项目,该项目在 GitHub 上线

系列模型 LLaMA /

开发工具有很多,踩坑无数总结:用得顺手、带仿真调试功能的最重要。特别是带仿真调试功能,用熟了,能让你找Bug效率直接起飞。下面给大家盘点一些比较常用的单片机开发工具:1.Keil μVision这款开发工具相信是所有做单片机开发必用的了,像我们无际单片机特训营的项目1,项目3和项目6都是用Keil。Keil是一种基于Windows系统的单片机开发环境,主要用于ARM Cortex-M、8051、C251等单片机的开发和调试。keil提供了集成的编译器、调试器和仿真器等工具,可以帮助开发者快速创建、编译和调试单片机程序。Keil的特点就是简单易用、功能强大、兼容性。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注