过时开源代码带来巨大安全隐患 企业需要软件物料清单

新思科技在《2020开源安全和风险分析报告》（2020 Open Source Security and Risk Analysis (OSSRA) report）中表示，99%受到审计的代码库拥有至少一个开源组件——一定程度上是个好消息；但是糟糕的是，91%的代码库中包含的开源组件，都至少过时四年，或者在过去两年中都没有任何的发展行为。在这些过时的代码中，开源代码占到了70%——那是相当大量的过时和被遗弃的 开源软件，而这些老旧的软件，显然是巨大的安全隐患。

各科技行业代码库中使用开源的比例

新思科技的这一份报告是基于了对1,250个商用代码库的审计得出的。更令人担忧的是，75%的受审计代码库含有已知安全漏洞的开源组件，比2019年的60%更新增了15%。几乎近一半（49%）的代码库包含高危漏洞，相比去年的40%也有了进一步的提高。

“开源软件在现代软件开发和部署中的作用不容忽视，但是人们却容易忽视它所带来的安全隐患以及证书合规等问题。”新思安全研究中心的首席安全战略师Tim Mackey表示，“2020年的OSSRA报告显示出组织依然无法有效追踪和管理他们的开源风险。必要措施包括对第三方软件组件的列表进行精确维护——包括开源关联性；同时将列表及时更新到最新情况，从而从多个层面发现应用风险。”

除了安全隐患之外，另一个问题在于68%的代码库都有一定的证书问题；33%的代码库甚至有无法识别的证书的开源代码。尽管说证书问题相对安全漏洞而言不那么明显，但是潜在的知识产权问题也同样会损害公司利益。

针对这些问题，除了找相关公司对代码进行审计之外，还有什么其他解决方法呢？

Gartner认为，企业需要一个软件物料清单，从而让公司对在应用或者服务中使用到的开源组件、商业组件以及框架都有一个全面的了解。鉴于在公司的项目中有大量过时、不安全的组件，伴随着企业日益增长的基于软件支持的硬件需求，软件物料清单是一个优秀的主意。

哈佛商学院教授Frank Nagle也认为：“免费和开源软件（FOSS）在过去很长一段时间里被人认为是兴趣爱好者和玩客的领域。但是，如今它已经成为现代经济的组成部分，甚至是智能手机、汽车、物联网等多种关键架构的基础。我们需要理清楚哪些部件被广泛使用，并且最脆弱，从而确保整个生态以及数字经济的长久健康。”

从这个角度来看，软件物料清单不只是一个不错的前进方向，更是代码编写、业务效率与安全性的必要元素。

报告下载：

https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/2020-ossra-report.pdf（点击阅读原文可直接下载报告）

关键词：供应链安全；开源软件；