美國新思科技公司 （Synopsys, Nasdaq: SNPS ）近日發(fā)布了《2018 年開(kāi)源代碼安全和風(fēng)險分析》（OSSRA）報告。該報告分析了2017年經(jīng)過(guò)審計的1,100多個(gè)商業(yè)代碼庫中的匿名數據，研究的行業(yè)包括汽車(chē)、大數據、網(wǎng)絡(luò )安全、企業(yè)軟件、金融服務(wù)、 醫療保健、物聯(lián)網(wǎng)（IoT）、制造業(yè)和移動(dòng)應用市場(chǎng)。該報告的審計數據由黑鴨子軟件公司（Black Duck Software）收集和整合。新思科技已于2017年12月完成對黑鴨子軟件公司的收購。

　　該報告突出顯示了開(kāi)源代碼的使用量持續大幅增長(cháng)，其中96% 被掃描應用中存在開(kāi)源組件。數據還顯示在每個(gè)代碼庫中平均有 257個(gè)開(kāi)源組件，比2017年的報告數據增長(cháng)了75%。現在許多應用中包含的開(kāi)源代碼多于專(zhuān)有代碼。令人擔憂(yōu)的是，78%  被檢查的代碼庫中至少包含一個(gè)漏洞，每個(gè)代碼庫平均包含 64個(gè)漏洞。這些代碼庫的漏洞中，超過(guò) 54%  被認為屬于高風(fēng)險漏洞。17%的代碼庫包含某種 常見(jiàn)漏洞，如 Heartbleed、Logjam、 Freak、Drown 和 Poodle。

　　黑鴨子軟件公司技術(shù)專(zhuān)員Tim Mackey表示：“現在的軟件和基礎設施在很大程度上依賴(lài)開(kāi)源技術(shù)，對使用的組件有一個(gè)清晰的認知是企業(yè)管理的關(guān)鍵。報告清楚地表明隨著(zhù)開(kāi)源代碼使用量的增長(cháng)，企業(yè)必須確保他們擁有能夠在開(kāi)源組件中檢測漏洞的工具，并且管理使用開(kāi)源代碼過(guò)程中可能需要的任何許可證合規性。”

　　在每個(gè)行業(yè)的應用中都發(fā)現了存在漏洞的開(kāi)源組件。互聯(lián)網(wǎng)和軟件基礎設施垂直行業(yè)的應用存在高風(fēng)險開(kāi)源漏洞的比例最高，為67%。比較諷刺的是，網(wǎng)絡(luò )安全行業(yè)仍然被發(fā)現存在很高比例的高風(fēng)險開(kāi)源漏洞，高達41 %，導致該垂直行業(yè)處于風(fēng)險第四高的位置。

　　除此之外， 被審計代碼庫中發(fā)現包含 Apache Struts（用于創(chuàng )建 Web 應用的開(kāi)源框架），而在這之中，有 33%含有導致 Equifax 入侵事件的Struts 漏洞。報告明確指出越來(lái)越多的漏洞在企業(yè)代碼庫中積累。平均而言，審計中發(fā)現的漏洞大約在 6 年前已經(jīng)被披露。

　　黑鴨子軟件公司負責OSSRA報告的產(chǎn)品市場(chǎng)經(jīng)理Evan Klein表示：“當Equifax由于A(yíng)pache Struts漏洞被入侵發(fā)生重大數據泄露時(shí)，開(kāi)源安全性管理需求成為 2017 年的頭版新聞。盡管它在2017年3月被披露，許多企業(yè)顯然仍未檢查他們的應用程序是否存在Struts漏洞。”

　　調查結果顯示，74%被審計代碼庫中包含存在許可證沖突的組件，其中最常見(jiàn)的是 GPL （GNU 通用公共許可證）許可證違規。存在許可證沖突的應用在各個(gè)行業(yè)分布情況不盡相同：零售和電子商務(wù)行業(yè)為61%，而在電信和無(wú)線(xiàn)行業(yè)則很高 -- 100％ 被掃描代碼都存在某種形式的開(kāi)源許可沖突。

　　下載OSSRA報告，請點(diǎn)擊：https://www.synopsys.com/content/dam/synopsys/china/software-integrity/reports/2018-ossra-sc.pdf