中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 新聞 > 國際 >
 首頁 > 新聞 > 國際 >

新思科技:大多數(shù)軟件受到已知漏洞和許可證沖突的困擾

2018-07-03 09:22:57   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  開發(fā)者在享受開源軟件的便利時(shí)應(yīng)該注意兩點(diǎn):合規(guī)性以及安全性。未按照開源許可證約定使用開源組件會(huì)引發(fā)潛在的法律糾紛。另外,開源軟件可能存在安全漏洞。開發(fā)者在使用開源組件的時(shí)候需要注意漏洞的識(shí)別,也應(yīng)采取相應(yīng)的代碼安全審計(jì)。
  美國新思科技公司 (Synopsys, Nasdaq: SNPS )近日發(fā)布了《2018 年開源代碼安全和風(fēng)險(xiǎn)分析》(OSSRA)報(bào)告。該報(bào)告分析了2017年經(jīng)過審計(jì)的1,100多個(gè)商業(yè)代碼庫中的匿名數(shù)據(jù),研究的行業(yè)包括汽車、大數(shù)據(jù)、網(wǎng)絡(luò)安全、企業(yè)軟件、金融服務(wù)、 醫(yī)療保健、物聯(lián)網(wǎng)(IoT)、制造業(yè)和移動(dòng)應(yīng)用市場(chǎng)。該報(bào)告的審計(jì)數(shù)據(jù)由黑鴨子軟件公司(Black Duck Software)收集和整合。新思科技已于2017年12月完成對(duì)黑鴨子軟件公司的收購。
  該報(bào)告突出顯示了開源代碼的使用量持續(xù)大幅增長,其中96% 被掃描應(yīng)用中存在開源組件。數(shù)據(jù)還顯示在每個(gè)代碼庫中平均有 257個(gè)開源組件,比2017年的報(bào)告數(shù)據(jù)增長了75%,F(xiàn)在許多應(yīng)用中包含的開源代碼多于專有代碼。令人擔(dān)憂的是,78%  被檢查的代碼庫中至少包含一個(gè)漏洞,每個(gè)代碼庫平均包含 64個(gè)漏洞。這些代碼庫的漏洞中,超過 54%  被認(rèn)為屬于高風(fēng)險(xiǎn)漏洞。17%的代碼庫包含某種 常見漏洞,如 Heartbleed、Logjam、 Freak、Drown 和 Poodle。
  黑鴨子軟件公司技術(shù)專員Tim Mackey表示:“現(xiàn)在的軟件和基礎(chǔ)設(shè)施在很大程度上依賴開源技術(shù),對(duì)使用的組件有一個(gè)清晰的認(rèn)知是企業(yè)管理的關(guān)鍵。報(bào)告清楚地表明隨著開源代碼使用量的增長,企業(yè)必須確保他們擁有能夠在開源組件中檢測(cè)漏洞的工具,并且管理使用開源代碼過程中可能需要的任何許可證合規(guī)性。”
  在每個(gè)行業(yè)的應(yīng)用中都發(fā)現(xiàn)了存在漏洞的開源組件;ヂ(lián)網(wǎng)和軟件基礎(chǔ)設(shè)施垂直行業(yè)的應(yīng)用存在高風(fēng)險(xiǎn)開源漏洞的比例最高,為67%。比較諷刺的是,網(wǎng)絡(luò)安全行業(yè)仍然被發(fā)現(xiàn)存在很高比例的高風(fēng)險(xiǎn)開源漏洞,高達(dá)41 %,導(dǎo)致該垂直行業(yè)處于風(fēng)險(xiǎn)第四高的位置。
  除此之外, 被審計(jì)代碼庫中發(fā)現(xiàn)包含 Apache Struts(用于創(chuàng)建 Web 應(yīng)用的開源框架),而在這之中,有 33%含有導(dǎo)致 Equifax 入侵事件的Struts 漏洞。報(bào)告明確指出越來越多的漏洞在企業(yè)代碼庫中積累。平均而言,審計(jì)中發(fā)現(xiàn)的漏洞大約在 6 年前已經(jīng)被披露。
  黑鴨子軟件公司負(fù)責(zé)OSSRA報(bào)告的產(chǎn)品市場(chǎng)經(jīng)理Evan Klein表示:“當(dāng)Equifax由于Apache Struts漏洞被入侵發(fā)生重大數(shù)據(jù)泄露時(shí),開源安全性管理需求成為 2017 年的頭版新聞。盡管它在2017年3月被披露,許多企業(yè)顯然仍未檢查他們的應(yīng)用程序是否存在Struts漏洞。”
  調(diào)查結(jié)果顯示,74%被審計(jì)代碼庫中包含存在許可證沖突的組件,其中最常見的是 GPL (GNU 通用公共許可證)許可證違規(guī)。存在許可證沖突的應(yīng)用在各個(gè)行業(yè)分布情況不盡相同:零售和電子商務(wù)行業(yè)為61%,而在電信和無線行業(yè)則很高 -- 100% 被掃描代碼都存在某種形式的開源許可沖突。
  下載OSSRA報(bào)告,請(qǐng)點(diǎn)擊:https://www.synopsys.com/content/dam/synopsys/china/software-integrity/reports/2018-ossra-sc.pdf
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題