新思科技发布《2022年开源安全和风险分析》报告：发现88%的组织在保持开源更新方面仍然落后

前 言

新思科技在4月12日发布了最新的《2022年开源安全和风险分析》报告（Open Source Security and Risk，简称OSSRA），通过调查来自17个行业的2400多个商业代码库的匿名调查结果，2022年OSSRA报告强调了这样一个事实，即每个行业和领域都在使用开源，并且是目前构建应用程序的基础。

《2022年开源安全和风险分析》报告的主要内容总结如下：

1

所有行业都包含高比例的开源代码

2022年OSSRA报告中代表的17个行业领域中有4个——计算机硬件和半导体、网络安全、能源和清洁技术以及物联网——在其经审计的代码库中100%包含开源。其余的垂直行业93%到99%的代码库都是开源的。

开源真的无处不在。2022年1月的白宫简报将软件描述为“在我们经济的各个领域无处不在，是美国人每天使用的产品和服务的基础。大多数主要软件包都包括开源软件……[它们]带来了独特的价值，但也面临着独特的挑战。”

2

开源审计有所增加

2021年，Synopsys总共审核了2409个代码库，其中97%包含开源代码。Black Duck审计数量的增加——比2020年增加64%——反映了整个2021年并购的相应增加。

并购交易中的收购方希望了解与他们所收购的软件相关的风险——特别是与许可、安全以及该软件中使用的开源质量相关的风险。OSSRA的审计数据表明，卖家对可能破坏交易的软件潜在问题也变得更加敏感，这促使他们在并购之前减少可能出现的问题。

3

包含许可证冲突的代码库锐减

超过一半（53%）的代码库包含许可证冲突，与2020年的65%相比大幅下降。但同时，由于88%的代码库包含过时版本（尚未应用更新的组件），公司需要通过软件物料清单（SBOM）跟踪在开发中使用的软件和项目。

我们（新思）在审计中看到的一项增加涉及知识共享相同方式共享3.0(CC-SA 3)许可证。CC-SA 3许可证冲突说明了一个在开源许可证方面被忽视的问题：开发人员经常将代码片段、功能、方法和可操作的代码片段引入他们的软件，通常称为依赖项，因为软件依赖于该代码。但是，依赖项本身可能会利用包含开发人员或最终用户不知道的许可证条款和条件的子依赖项。例如，流行的node.js组件的某些版本包含一个依赖项，该依赖项利用了CC-SA 3许可证下的代码，这可能会对被许可人提出不良要求，并需要对可能的 IP 问题进行法律评估。

4

补丁管理依然具有挑战性

2097个代码库包括安全和操作风险评估，其中81%的代码库包含至少一个漏洞，比2021年OSSRA的调查结果最低减少3%。包含至少一个高风险开源漏洞的代码库数量显著减少。49%的审计代码库包含至少一个高风险漏洞，比去年下降了11%。

从操作风险/维护的角度来看，2097个代码库中有85%包含已过期四年多的开源代码。88%使用了不是最新可用版本的组件。

虽然许可证冲突和高风险漏洞的减少令人鼓舞，但事实仍然是，超过一半的审计代码库包含许可证冲突，近一半包含高风险漏洞。更令人不安的是，在我们检查的包含风险评估的2097个代码库中，88%包含过时版本的开源组件。也就是说，更新或补丁可用但未应用。

不使软件保持最新是有正当理由的，但很可能88%中的很大一部分是由于DevSecOps团队没有意识到有更新版本的开源组件可用。除非组织对其代码中使用的开源保持准确和最新的清单，否则组件可能会被遗忘，直到它容易受到高风险攻击，然后争先恐后地识别它的使用位置并更新开启。

这正是Log4j发生的事情，但在围绕Log4j漏洞的骚动中有些迷失的是，恐慌通常是由于组织不知道Log4j在特定系统和应用程序中的位置，或者事实上，如果它就在那里。然后这个问题在成千上万的IT团队中成倍增加，他们争先恐后地回答诸如“我们是否容易受到Log4Shell的攻击？我们供应商的软件是否容易受到攻击？使用我们软件的客户是否容易受到攻击？”

工信部电子知识产权中心 校译整理

https://www.synopsys.com/content/dam/synopsys/sig-assets/ reports/rep-ossra-2022.pdf

原文标题：Synopsys:2022 OPEN SOURCE SECURITY AND RISK ANALYSIS REPORT

代码分析实验室

工信部电子知识产权中心在代码分析及知识产权合规业务上发挥独特资源与能力优势，建设代码分析实验室，自研并集合国内外多款代码分析工具，可开展代码指纹检测及源代码检测，并基于代码分析工具及丰富的代码数据库、专利数据库，围绕企业研发、管理中的知识产权风险，提供各项合规服务，帮助企业避免法律风险，实现合规发展。具体业务包括：企业源代码溯源分析、开源代码检测、开源许可协议合规分析、开源软件项目知识产权风险评估、企业开源风险防控体系建设、企业知识产权合规管理方案建设、开源知识产权风险相关培训等。

本公众号定期推送知识产权及竞争政策相关的法律政策与政府文件、最新全球行业信息、国外国防产权动态、原创文章与专家观点、业内高端活动消息、《电子知识产权》（月刊）&《竞争政策研究》（双月刊）文章节选及重磅全文、专利态势发布、中心最新成果发布及相关新闻报道等诸多内容，欢迎各界人士关注！