現(xiàn)代應(yīng)用中始終包含大量的開源組件，并可能存在安全 性、許可和代碼質(zhì)量問題。如何管理開源的使用非常重要。對(duì)商業(yè)軟件與開源軟件之間的差異越是關(guān)注，結(jié)果就越好。

　　新思科技的年度OSSRA報(bào)告旨在深入剖析商業(yè)軟件中開源安全性、合規(guī)性和代碼質(zhì)量風(fēng)險(xiǎn)的情況，助力企業(yè)開發(fā)安全、高質(zhì)量的軟件。

　　美國新思科技公司  （Synopsys, Nasdaq: SNPS）近日發(fā)布了（2020年開源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心 （CyRC）制作，研究了由Black Duck審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的對(duì)超過1,250個(gè)商業(yè)代碼庫的審計(jì)結(jié)果。報(bào)告重點(diǎn)介紹了在商業(yè)應(yīng)用程序中開源應(yīng)用的趨勢和模式，并且提供見解和建議，以幫助企業(yè)從安全性、許可證合規(guī)性和操作角度更好地管理開源風(fēng)險(xiǎn)。

　　2020 OSSRA報(bào)告重申了開源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用，揭示了過去一年中經(jīng)過審計(jì)的所有有效代碼庫（99%）至少包含一個(gè)開源組件，其中開源占所有代碼的70%。值得注意的是，老化或廢棄的開源組件仍然被廣泛使用，91%的代碼庫中包含的組件已經(jīng)過期四年以上或過去兩年中沒有開發(fā)活動(dòng)。

　　在今年的分析中，最令人擔(dān)憂的趨勢是未管理的開源代碼帶來的安全風(fēng)險(xiǎn)日益增加，經(jīng)過審計(jì)的代碼庫中，75%包含具有已知安全漏洞的開源組件，而去年這一比例是60%。同樣，將近一半（49%）的代碼庫包含高風(fēng)險(xiǎn)漏洞，去年則為40%。

　　新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示：“我們很難摒棄開源在現(xiàn)代軟件開發(fā)和部署中扮演的重要角色；但是卻很容易從安全性和許可證合規(guī)性角度忽略它如何影響應(yīng)用程序風(fēng)險(xiǎn)態(tài)勢。2020年OSSRA報(bào)告強(qiáng)調(diào)企業(yè)如何持續(xù)努力有效地追蹤和管理其開源風(fēng)險(xiǎn)。維護(hù)一個(gè)準(zhǔn)確的第三方軟件組件庫包括開源依賴項(xiàng)，并對(duì)其保持更新是從多個(gè)層面處理應(yīng)用程序風(fēng)險(xiǎn)的關(guān)鍵起點(diǎn)。”

　　想要了解更多，可以點(diǎn)擊下載點(diǎn)擊下載2020年OSSRA報(bào)告