被抛弃的开放源代码增加了商业软件的安全风险

根据本周二发布的Synopsys 2020开源安全与风险分析报告，过时或废弃的开源组件在几乎所有商业软件中都存在，使企业和用户应用程序面临安全问题、违反许可和操作威胁的风险。

Synopsys的研究人员分析了超过1250个商业代码库。Synopsys网络安全研究中心(CyRC)审查了黑鸭审计服务团队执行的代码基础审计。

该报告强调了商业应用程序中开源使用的趋势和模式。它提供了见解和建议来帮助组织更好地管理他们的软件风险。

2020年OSSRA报告重申了开源在当今软件生态系统中扮演的关键角色。

Synopsys发现，在过去一年审计的代码库中，有99%至少包含一个开源组件。开放源码占代码总数的70%。

该报告强调了持续广泛使用的老化或废弃的开源组件，这些组件要么已经过时超过四年，要么在过去两年没有任何开发活动。

Synopsys网络安全研究中心的首席安全战略家Tim Mackey说:“我们很难忽视开源在现代软件开发和部署中的重要作用，但是从安全和许可遵从的角度来看，很容易忽略它对应用程序风险的影响。”

他告诉LinuxInsider, 2020年OSSRA报告强调了组织如何努力有效地跟踪和管理他们的开源风险。这种斗争包括维护第三方软件组件和开放源码依赖关系的准确清单。

他说:“保持信息及时更新是解决多层次应用风险的一个关键起点。”

根据Synopsys的说法，在今年的分析中，最令人担忧的趋势是由非托管的开源所带来的不断增加的安全风险。代码审计显示，75%的代码库包含具有已知安全漏洞的开放源码组件。

这一数字高于去年报告中的60%。同样，49%的代码库包含高风险漏洞，而这一比例仅为40%。

越来越多的开源软件被采用，增加了对商业软件中非托管开源代码的警惕。

根据今年的Syopsys报告，99%的代码库至少包含一些开放源码，平均每个代码库包含445个开放源码组件。与2018年发现的298个开源组件相比，这是一个显著的增长。经过审计的代码中有70%被认定为开源代码，这一比例高于2018年的60%，自2015年达到36%以来几乎翻了一番。

麦基说，与去年的分析结果相比，今年的报告显示了一些意想不到的进展，既有好的结果，也有坏的结果。

他说:“我们看到了总体安全趋势的变化，同时也看到了治理过程没有跟上使用量增加的迹象。”

好消息是，今年是该机构首次没有发现基础数据存在“心脏出血”(HeartBleed)漏洞。这表明，虽然长尾仍然存在，但是重构工作或者仅仅是提高对高影响漏洞的认识正在产生效果。

坏消息方面，随着开放源码使用的增加，未修补的漏洞也在增加，说明依赖于手动过程。Mackey解释说，这发生在漏洞披露由于额外的报告机构而增加的时候。

最终的结果是，没有自动解决方案来过滤不适用于它们的cve的企业，被迫测试由于应用程序或系统组合而不可能被利用的信息披露。

通过代码审计发现的最值得注意的开源风险趋势总结如下:

研究人员发现，68%的代码库包含某种形式的开源许可冲突。33%包含没有可识别许可的开源组件。

报告得出结论，安全漏洞是一个主要问题。将近一半的代码库包含高风险的漏洞。

其中大约73%的漏洞使代码库所有者面临可能的法律问题。开源组件的许可似乎与代码库的整体许可冲突，或者根本没有许可。

报告显示，不同行业的许可证冲突发生率存在显著差异。

这些冲突从93%的互联网和移动应用到59%的虚拟现实、游戏、娱乐和媒体应用。

这是Synopsys开源安全与风险分析报告的第五版。它提供了商业软件中开源安全、遵从性和代码质量风险的当前状态的深入快照。

其结果基于Synopsys的开源审计服务团队在2019年审查的匿名数据。出于代码审计的目的，Synopsys将代码基定义为应用程序、服务或库的基础代码和库。

研究人员将管理软件定义为识别和跟踪的软件组件的来源、年龄、许可和版本信息。研究人员还研究了应用或缺失的更新和安全补丁。

2020年OSSRA报告总结说，组织需要更好地维护开源组件。这些代码是他们构建或使用的软件的关键部分。

麦基说:“我们继续建议企业在自动化方面进行投资，以创建准确的库存，但真正的故事是一个过程。”“开发、企业IT和企业法律团队需要为开源的使用定义一个过程。”

不再建议下载开源组件、包或解决方案并简单地使用它。他补充说，如果下载没有得到适当的管理，那么它将使企业面临与任何商业软件一样的治理挑战。

关键的区别在于，没有一个商业实体可以让律师依靠来解决问题。这个补丁需要来自支持这个组件的开源社区，或者来自本地开发团队，后者理想情况下会将它的补丁提交给社区。

“不管怎样，如果社区参与不是这个过程的一部分，那么保持一个补丁兼容的状态就会变得更加困难，”Mackey说。

据Mackey说，OSSRA的报告没有考虑开源软件的整体安全性。相反，它关注的是在商业环境中使用时的治理情况。

“话虽如此，我们确实对数据集中发现的几个突出漏洞进行了更深入的分析，以更好地理解什么是核心风险，”他澄清说。

开源软件安全提出了新的挑战。SaltStack的首席技术官托马斯•哈奇(Thomas Hatch)表示，专有软件将包括开源软件，这非常普遍，几乎是普遍现象。

同样重要的是要记住，专有软件中包含的开源软件版本可能不会可靠地公开，或者根本不会公开。跟踪这几乎是不可能的，”他告诉LinuxInsider。

开源软件更安全的最初理由是，许多人的眼睛可以带来更多的修复。然而，这一论断似乎并不能解释小型开源项目在现代的蔓延，Hatch观察到。

“现在有太多的开源代码，审计变得越来越困难。我想说，开源软件的安全状况今年比去年更差。

虽然大型项目正在改善，但整体的增长速度远远超过了跟踪能力。哈奇说，这份报告非常有用，但作为一个正在进行的探索项目，它将更加强大。

麦基保证说，年复一年地发布这类报告是为了达到真正的纠正目的。

他解释说，当该公司5年前开始发布OSSRA报告时，企业领导人对开源活动对其整体运营的影响缺乏认识。

这就是大量引人注目的开源漏洞开发的背景。五年后，随着开放源码的发展，监管要求的复杂性也在增加。

OSSRA的报告基于在并购中获得的商业应用。Mackey说，底层数据提供了一个关于开源的视角，这是无法通过对开发团队的简单调查或其他轻量级数据收集获得的。

StackRox的首席技术官Ali Golshan说，Synopsys 2020 OSSRA报告提供了一个高水平趋势的良好指标。但是，公司在决策时应该考虑更多的东西，特别是与开源安全相关的东西。

他告诉LinuxInsider:“随着DevOps实践与开源解决方案的结合，导致云原生技术的更广泛部署，与开源相关的风险问题变得越来越动态。”

整体攻击面在云原生空间中发生了重大变化——从传统的攻击和运行时攻击转向了构建过程中暴露的更大的攻击面，Golshan指出。

他提醒说，从操作的角度来看，在使用开源组件的同时使用云本地技术可能是有利的，但从安全的角度来看则是有挑战性的。“像Synopsys这样的报告应该被认为是一个很好的提醒，可以更仔细地查看如何保护构建过程。”

Jack M. Germain自2003年起担任ECT新闻网络记者。他主要关注的领域是企业IT、Linux和开源技术。他写了许多关于Linux发行版和其他开源软件的评论。杰克的电子邮件。