开源安全和风险分析(OSSRA)报告 | Synopsys

抱歉,尚不支持此语言

2022

开源安全
与风险分析报告

2022 年开源安全与风险分析报告

2022 年《开源安全和风险分析 (OSSRA) 报告》(第 7 版)审视了在 17 个行业 2,400 多个代码库中发现的漏洞和许可证冲突。该报告还提供了一些建议,旨在帮助安全、法律、风险和开发团队更好地了解与开源开发和使用相关的安全和风险状况。

开源经久不衰

今年,开源继续表现出经久不衰之势,再次成为绝大多数商业代码库的基础。事实上,开源代码已经深深扎根在现代软件开发之中,甚至代码拥有者通常都不知道自己的软件中包含开源组件。

0 的代码库 包含 开源

代码库中 78% 的代码是 开源

漏洞数量正在减少

  • 包含至少一个漏洞的代码库占比
  • 每个代码库的高风险漏洞占比

开源的使用情况不变,但开源漏洞的改善令人欣慰。今年的报告显示,漏洞比上一年减少了 3%,但包含漏洞的代码库的总占比仍然非常高。这一趋势表明,风险最小化的进展缓慢,但正在朝着正确的方向发展。

与开源漏洞的轻微减少形成对比的是高风险漏洞的大幅减少。与去年的报告相比,包含高风险开源漏洞的代码库占比降低了 11%。这表明组织开始强调迅速识别,确定优先级和缓解高风险漏洞的重要性。

运营风险令人堪忧

尽管漏洞数量方面有所改善,但令人不安的是,许多代码库中都包含过去两年中没有涉及任何开发活动、也没有提供任何用户升级包的开源代码。如果某项目在 24 个月内没有涉及到任何功能升级、代码改进或安全问题修复活动,则很可能意味着该项目根本没人维护了。

0

0

0

0

在并购交易量创历史新高的一年里,关键行业仍然脆弱

所有行业领域都出现了同样的现象:开源存在于几乎每个代码库中,占总代码库的大部分,并且容易被利用和攻击。只有全面盘点企业使用的所有软件,无论其来自何处,如何获得,才能帮助消除这种业务风险。

2022 年 OSSRA 报告 深入了解开源安全、许可证、代码质量和维护风险的状态