开源安全和风险分析报告
96%
76%
96%的审计代码库包含开源软件
76%的代码库中含开源代码
84%
48%
84%的代码库至少包含一个漏洞
48%的代码库包含高风险漏洞
包含开源代码的代码库占比(按行业)
代码库中开源代码占比(按行业)
航空航天、汽车、运输和物流
大数据、AI、 BI和机器学习
计算机硬件和半导体
网络安全
教育科技
能源与
企业软件/SaaS
金融服务和金融科技
医疗保健、健康科技和生命科学
互联网和移动应用
互联网和软件基础架构
物联网
制造业、工业和机器人
营销科技
零售和电子商务
电信和无线
虚拟现实、游戏、娱乐和媒体
2023年《开源安全和风险分析》(OSSRA) 报告对17个行业超1,700个代码库中的漏洞和许可证冲突问题进行了分析。该报告还提供了一些建议,旨在帮助安全、法律、风险和开发团队更好地了解与开源开发和使用相关的安全和风险状况。
开源无处不在
开源代码一直是绝大多数商业代码库的基础。事实上,开源已经融入现代软件开发中,甚至代码拥有者常常不知道他们的软件中存在开源组件。
安全风险普遍存在
包含安全漏洞的代码库的总体占比仍然高到令人不安。漏洞数量在2022年继续小幅增加,增幅为4%。
虽然漏洞总量略有增加,但具有高风险漏洞的代码库占比较去年降低了2%,降至48%。同样令人欣慰的是,Log4J实例有所减少 — 在今年审计的Java代码库中,Log4J实例从去年的15%降至11%。虽然取得了进步,但也凸显了企业未能修复这一漏洞的重要趋势。
运营风险无处不在
令人担忧的是,很多代码库都包含最近两年未涉及任何开发活动和用户更新的开源代码。如果在24个月内没有进行任何功能升级、代码改进或安全补救,则很可能说明相关方不再对该项目进行维护。
主要行业仍很脆弱
各行各业的情况基本相同:几乎所有的代码库中都存在开源代码,导致大部分代码库都很脆弱,容易被利用和攻击。只有对企业使用的所有软件进行全面的盘点,才能帮助降低这种业务风险。
2023 OSSRA 报告 深入了解开源安全、许可证、 代码质量和维护风险的现状
