91%的商业App包含过时或废弃开源组件

2020-06-05 758

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告，该报告由 Synopsys 网络安全研究中心(CyRC)制作，研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。

云栖号资讯：【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！

Synopsys 公司发布了 2020 年开源安全和风险分析(OSSRA)报告，该报告由 Synopsys 网络安全研究中心(CyRC)制作，研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。

8A8AC5ED_A20D_4ab7_859E_4972CB9260E1

该报告重申了开源在当今软件生态系统中的关键作用，揭示了过去一年中几乎所有(99%)的经审核代码库均至少包含一个开源组件，其中开源代码占总体代码的70%。

9AAECBA5_20AF_4d3a_927A_AD337964AFC3

然而更值得注意的是，老化或废弃的开源组件的继续广泛使用，其中 91% 的代码库包含的组件已经过时四年以上，或者在过去两年中没有开发活动。

此外，更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75% 包含具有已知安全漏洞的开源组件;同时，几乎一半(49%)的代码库包含高风险漏洞;两者比例都实现了同比增长。

E430C78E_2913_4ffd_9B0D_D48620D01280

报告中开源风险趋势总结

开源的采用率继续飙升。99% 的代码库至少包含一些开源，每个代码库平均有 445 个开源组件，比 2018 年的 298 个有了显着增加。经过审核的代码中有 70 % 被确定为开源，这一数字从 2018 年的 60% 增长到 2015 年(36%)以来的近两倍。

A5806998_CF53_4dec_AE94_236A4A9F8C66

过时的和“废弃的”开源组件无处不在。91% 的代码库包含的组件或者已经过时四年以上，或者在过去两年中没有开发活动。除了存在安全漏洞的可能性增加之外，使用过时的开源组件的风险还在于更新它们还会带来不必要的功能或兼容性问题。

42DDF731_50B6_4716_8F01_0290089C1CEB

易受攻击的开源组件的使用再次呈上升趋势。在 2017 年至 2018 年期间，包含易受攻击的开源组件的代码库所占比例从 78% 下降至 60% 之后；

在 2019 年上升至 75%。同样，包含高风险漏洞的代码库的百分比从 2018 年的 40% 上升到 2019 年的 49%。

C21A8AC2_1BF8_435f_AAE4_4A530FB9544E

开源许可证冲突继续使知识产权面临风险。68% 的代码库包含某种形式的开放源代码许可证冲突，而 33% 的代码库包含没有可识别许可证的开放源代码组件。

许可证冲突的发生率因行业而异，从最高的 93%(互联网和移动应用程序)到相对较低的 59%(虚拟现实、游戏、娱乐、媒体)不等。

E59BE441_5579_4fd7_B3B0_90EE9322A3CA

开源组件泄露的危害

01.风险一：许可证违规

大多数开源软件都有其发布许可（License），如果要使用这些开源软件，应当遵守其许可证（License）的要求，如果在使用开源软件时没有遵守其License 要求的各项义务，就是违规使用开源软件，会造成许可证合规性风险。

开源许可证违规造成的影响可大可小，严重时会导致法律诉讼，造成公司产品的召回、被迫开源自有知识产权代码等等，而这些事件还可能对公司的声誉、市场准入等造成长期的负面影响。

02.风险二：安全漏洞

开源软件也可能存在安全漏洞，使用了存在安全漏洞的开源代码，安全漏洞会被引入到您的软件当中。
一些现在没有安全漏洞的开源软件（其实是人们还没有发现其中的漏洞），将来可能会爆出漏洞，如果不能及时知晓这些安全漏洞以及安全漏洞涉及到您的哪些软件产品，也是一种很大的风险。

03.风险三：自有知识产权代码泄露

有些公司已经参与到开源大潮当中，成为某些开源项目的贡献者甚至领导者，在对开源社区进行贡献时，如何界定和管理自有知识产权的代码不被开放出去，这点非常重要，如果管理的不好，会造成自有知识产权代码的泄露风险。
当一些公司作为供应商为其用户提供软件产品的时候，也存在自有知识产权代码泄露的风险。

A28757EA_5F12_434f_9988_020A30FC030D

3.代码签名证书的重要性

代码签名证书对开发商在所有平台上使用并对其发布在网络上的应用软件和软件进行数字签名。代码签名可以提供和客户购买的压缩软件同样的安全性，包括发布者的名称，以及避免恶意软件入侵和其他危害。

代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替，从而避免用户放弃安装并增加下载率，代码签名会为安装过程增加信用度。

代码签名证书具有以下优点
· 代码签名证书可以保证发布者的身份无误且已通过认证。
· 严格的审核过程能够核实更多关于发布者的信息，使假冒合法开发商和获取伪造证书的难度增大。
· 证书储存在USB身份锁上可以降低被盗用的风险。
· 获得微软智能屏幕过滤器的即时信誉可以去除终端用户收到的提示应用软件可能为恶意软件的警告信息

7A9DBFBD_DE4E_4c59_B28F_A9E2E1766F91

开源大潮不可阻挡，我们既要“拥抱”开源，又要避免其风险，尤其是在市场竞争日趋激烈、知识产权保护力度不断加大、自主可控要求不断强化的今天，如何安全、合规的使用开源软件，是我们需要解决的问题。

【云栖号在线课堂】每天都有产品技术专家分享！
课程地址：https://yqh.aliyun.com/zhibo

立即加入社群，与专家面对面，及时了解课程最新动态！
【云栖号在线课堂社群】https://c.tb.cn/F3.Z8gvnK

原文发布时间：2020-06-04
本文作者：数多多
本文来自：“GDCA数安时代数字证书微信公众号”，了解相关信息可以关注“GDCA数安时代数字证书 ”

91%的商业App包含过时或废弃开源组件

热门文章

最新文章

相关课程

相关电子书

相关实验场景