新思科技报告显示78% 被检查的代码库中至少包含一个漏洞

2018-07-03 07:35:00 来源:EEFOCUS
标签:
很多软件开发商都乐于使用开源代码,因为它们成本低且好用。如果开源代码中存在漏洞,企业应用软件存在漏洞的几率就会大幅上升,从而危及到用户。
 
美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布了《2018 年开源代码安全和风险分析》(OSSRA)报告。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据,研究的行业包括汽车、大数据、网络安全、企业软件、金融服务、 医疗保健、物联网(IoT)、制造业和移动应用市场。该报告的审计数据由黑鸭子软件公司(Black Duck Software)收集和整合。新思科技已于2017年12月完成对黑鸭子软件公司的收购。
 
该报告突出显示了开源代码的使用量持续大幅增长,其中96% 被扫描应用中存在开源组件。数据还显示在每个代码库中平均有 257个开源组件,比2017年的报告数据增长了75%。现在许多应用中包含的开源代码多于专有代码。令人担忧的是,78%  被检查的代码库中至少包含一个漏洞,每个代码库平均包含 64个漏洞。这些代码库的漏洞中,超过 54%  被认为属于高风险漏洞。17%的代码库包含某种 常见漏洞,如 Heartbleed、Logjam、 Freak、Drown 和 Poodle。
 
黑鸭子软件公司技术专员Tim Mackey表示:“现在的软件和基础设施在很大程度上依赖开源技术,对使用的组件有一个清晰的认知是企业管理的关键。报告清楚地表明随着开源代码使用量的增长,企业必须确保他们拥有能够在开源组件中检测漏洞的工具,并且管理使用开源代码过程中可能需要的任何许可证合规性。”
 
在每个行业的应用中都发现了存在漏洞的开源组件。互联网和软件基础设施垂直行业的应用存在高风险开源漏洞的比例最高,为67%。比较讽刺的是,网络安全行业仍然被发现存在很高比例的高风险开源漏洞,高达41 %,导致该垂直行业处于风险第四高的位置。
 
除此之外, 被审计代码库中发现包含 Apache Struts(用于创建 Web 应用的开源框架),而在这之中,有 33%含有导致 Equifax 入侵事件的Struts 漏洞。报告明确指出越来越多的漏洞在企业代码库中积累。平均而言,审计中发现的漏洞大约在 6 年前已经被披露。
 
黑鸭子软件公司负责OSSRA报告的产品市场经理Evan Klein表示:“当Equifax由于Apache Struts漏洞被入侵发生重大数据泄露时,开源安全性管理需求成为 2017 年的头版新闻。尽管它在2017年3月被披露,许多企业显然仍未检查他们的应用程序是否存在Struts漏洞。”
 
调查结果显示, 74%  被审计代码库中包含存在许可证冲突的组件,其中最常见的是 GPL (GNU 通用公共许可证)许可证违规。存在许可证冲突的应用在各个行业分布情况不尽相同:零售和电子商务行业为61%,而在电信和无线行业则很高 —— 100% 被扫描代码都存在某种形式的开源许可冲突。
 
 
高风险组件
 
行业
 
 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

继续阅读
新思科技陈志宽:半导体行业合作非常重要,安全问题也需严肃考虑

新思科技公司总裁兼联席首席执行官陈志宽: 陈志宽表示,中国在集成电路方面的发展历史悠久,这是一个令人振奋的事情。

灿芯半导体与新思科技延长IP OEM合作伙伴关系

中国上海,2019年9月3日,全球领先的定制化芯片(ASIC)设计解决方案提供商灿芯半导体(“灿芯”)与新思科技(Synopsys, Inc.,纳斯达克股票代码:SNPS)与共同宣布,延长双方的IP OEM合作协议,从而使灿芯能够继续得到新思科技全面且高质量的DesignWare® IP及专业技术支持。

新思科技联合Ponemon Institute发布 《金融服务业软件安全状况》报告

现在,金融科技已深深地嵌入到每一项金融服务业务中。如果没有金融科技,任何银行或保险公司恐怕都将无法运营。同时,对金融服务业而言,网络安全是一个非常现实且迫切的问题。

当机器人被黑客入侵,带来的结果可能是毁灭性的

头条新闻一直在发生,安全漏洞一直在发生,网络安全是大多数企业关注的问题。机器人如果无法抵御安全漏洞,黑客的结果可能是毁灭性的......甚至是致命的。

Synopsys收购德国汽车软件和仿真公司QTronic GmbH

新思科技(Synopsys, Inc., )近日宣布收购总部设在德国的汽车软件和系统开发仿真、测试工具和相关服务企业QTronic GmbH。这项收购完成后将扩大新思科技的汽车解决方案产品组合,满足汽车一级供应商和OEM公司的需求,并增加一支经验丰富的工程师团队,加快技术开发和用户部署。

更多资讯
郭台铭正式撇清与广州10.5代面板厂的关系,广州10.5代厂未来命运会怎样?

与非网 9 月 16 日讯,近日,郭台铭出售此前投资的广州10.5代面板厂的全部股权,至此,该工厂已经与郭台铭无关。

仅凭 iPhone 11 的 LCD 订单,并不能使 JDI 活下去?

与非网 9 月 16 日讯,苹果LCD订单不足,JDI白山工厂又要关厂。

苹果专用 OLED 材料组合成绝唱?三星称不再为 iPhone 开发独家材料组合

与非网 9 月 16 日讯,三星显示决定不再为苹果智能手机开发OLED材料,这意味着明年的iPhone可能会使用M10材料组合。

三星李在镕:未来取决于新技术

与非网 9 月16 日讯,据韩国媒体The Elec 报道,三星电子副董事长李在镕上周访问了三星的SET业务研发中心Samsung Research,敦促员工通过专注于前所未有的下一代技术来开拓未来。

去美化、5G将使手机供应链迎来大洗牌,磊晶厂全新只差临门一脚?

与非网 9 月 16 日讯,随着5G之风逐渐吹起,台湾磊晶厂全新正在摩拳擦掌,它的机会在哪里?