软件开源代码在安全方面的风险研究报告



     为了加快业务创新,应用开源技术提高开发效率已经成为企业的主流选择,但也导致对复杂

软件供应链的依赖日益增加。尽管开放源码组件具有许多优点,但它的广泛应用也带来了新的

安全挑战,因此出现了软件成分分析。软体组成部分的风险在增加。
 
 
 
全球安全漏洞库最近发布了一份“开放源码安全与风险分析(2020年)报告”,其中提到关于代码安

全漏洞的数据显示:在2019年之内,在经过审计的代码库中,85%包含已知的安全漏洞,56%

包含高风险漏洞。该报告显示,去年60%的代码库都开放源代码,比去年增长了20%,这在一

定程度上影响了安全性问题。尽管现在许多企业都使用开源组件,但大多数开源协议和参考规

范都不很清楚,因而会导致各种不必要的争议甚至法律纠纷。出现了软件成分分析。
 
 
 
 
尽管组件问题时有发生,而SCA相关工具在软件供应链中的市场份额却长期为国外企业所垄断

,但软件供应链一直是国内企业忽视的主题。《OWASPTop20》2013年版和2017年版的文档

中包含并分析了“使用包含已知漏洞的组件”,以提醒安全团队和开发团队,由于组件自身存在

安全漏洞,应用程序将面临安全风险。到2019年,Gartner将SCA纳入AST技术领域,从而形

成了包括SAST、DAST、IAST和SCA在内的一套应用软件安全测试技术体系;正式发布了

包含SAST、DAST、IAST和SCA的技术洞察报告,其中明确定义了软件组件分析技术:由软

件组件分析产品对应用程序进行分析,以检测开放源代码软件组件是否存在已知的安全漏洞

或功能缺陷,以及需要适当授权的商业软件或第三方产品。这可以帮助确保企业软件供应链

只包含安全组件,从而支持应用程序的安全开发和装配。此时,SCA正式进入了国人的视野。
分享:

相关推荐