2024年开源安全与风险分析报告-概要

2024-03-08 约 1282 字预计阅读 3 分钟

报告概要

这份《2024年开源安全与风险分析报告》（Open Source Security and Risk Analysis Report 2024，简称OSSRA）提供了关于如何负责任地管理开源软件的建议，特别是在保护软件供应链的背景下。报告的主要内容包括：

执行摘要 ：报告强调了开源软件在商业软件中的普遍性，以及管理开源组件的重要性。报告指出，了解代码中包含的开源组件、它们的许可证、代码质量和潜在漏洞是保护软件供应链的关键。
开源漏洞和安全 ：报告分析了开源漏洞的现状，指出了开发者需要改进的地方，以及如何通过软件物料清单（SBOM）管理软件供应链。报告还讨论了AI编码工具引入的安全和知识产权合规风险。
开源许可证 ：报告解释了许可证风险，并提出了如何通过AI编码工具保护免受安全和知识产权合规风险的建议。
影响开源风险的操作因素 ：报告指出，开源消费者需要改进维护实践，包括及时更新组件和使用自动化工具来识别和跟踪开源组件的漏洞、升级和整体健康状况。
发现和建议 ：报告提出了创建安全软件开发框架的建议，并强调了了解代码内容的重要性。报告还提供了关于如何管理开源风险的实用建议。
术语：报告最后提供了一些关键术语的定义，如代码库、二进制分析、CWE、CVE、BDSA、软件组件、依赖、代码片段、开源许可证、宽松许可证、共享许可证、软件组成分析（SCA）、软件物料清单（SBOM）等。

报告还提到了一些关键的统计数据，例如：

报告由Synopsys软件完整性小组的成员共同完成，包括审计服务、咨询、研究、法律和市场团队的成员。报告旨在帮助安全、法律、风险和开发团队更好地理解开源安全和许可证风险环境。

以下是报告中提到的一些核心统计数据：

开源组件普遍性 ：
- 96%的扫描代码库包含开源组件。
- 77%的所有源代码和文件来自开源。
开源漏洞和风险 ：
- 84%的评估安全风险的代码库存在至少一个已知的开源漏洞。
- 74%的这些代码库包含高风险漏洞，这是2022年的48%的显著增加。
- 91%的代码库包含的组件版本比最新版本落后10个或更多版本。
- 49%的代码库包含在过去24个月内没有开发活动的组件。
- 1%的代码库包含的组件至少落后于代码维护者更新/补丁12个月。
开源许可证问题 ：
- 31%的总代码库包含没有许可证或自定义许可证的开源。
- 53%的总代码库包含许可证冲突。
- 96%的总代码库包含开源。
行业分布 ：
- 计算机硬件和半导体行业87%的代码库包含高风险漏洞。
- 制造业、工业、机器人行业87%的代码库包含高风险漏洞。
- 零售和电子商务行业84%的代码库包含高风险漏洞。
开源维护实践 ：
- 49%的包含风险评估的代码库包含在过去两年内没有新开发的开源。
- 91%的包含风险评估的代码库包含的组件版本落后于最新版本10个或更多。

这些统计数据强调了开源组件在软件供应链中的普遍性和重要性，同时也揭示了开源管理中存在的安全和合规风险。

具体报告见