业界流传这样一句话,“软件吞噬世界,开源吞噬软件”。开源软件在促进全球的软件创新方面发挥着越来越重要的作用。但同时,其安全与合规风险问题也在日益显现。一、开源组件安全与合规风险

1、开源组件安全漏洞增加

根据Synopsys发布的《2023开源安全和风险分析》报告显示:84%的代码库中包含至少一个已知开源漏洞,比2022年版的OSSRA报告增加了近4%。是由于错误编码、安全审查不足或其他原因导致开源项目存在安全漏洞,攻击者可利用这些漏洞执行恶意代码,进行敏感数据窃取或入侵攻击等。

2、 大量开源代码缺乏长期维护

Synopsys审查的1481个含安全风险的代码库中,91%存在过去两年内未进行任何功能升级、代码改进和安全问题修复的开源代码。可见,开源代码缺乏更新维护,对开源项目安全性影响有多大。

3、依赖关系存在较大的安全隐患

一个程序通常间接或直接依赖于数千个软件库,开源代码可能比闭源代码依赖关系更多,来源于更多的供应商。EndorLabs2022年的一份报告显示,存在95%的易受攻击依赖项都是可传递的,且这些依赖项大多深藏于软件供应链中,难以直接触及。

4、未经授权进行代码修改

恶意用户未经授权修改开源代码,引入后门或其他安全风险,进行非法信息访问、窃取或恶意攻击。

5、 开源合规性问题

开源组件开发者是在特定的开源协议下,以“既定的方式”允许公众学习、使用、修改该软件。源代码的利用虽然按开源许可证进行,但开源许可证众多,所以不同的许可证还会有着不同的知识产权保护要求。在企业日常经营活动中,如果未重视开源软件合规管理,将使企业面临巨大的潜在法律风险。

二、如何应对开源组件安全风险?

推荐使用开源组件安全及合规管理平台(SourceCheck),高效识别第三方开源组件安全风险及合规风险,定位风险影响范围,预警新漏洞,助力企业实现漏洞的快速修复和软件资产的全面管理。

1、深层组件检测能力

支持开源组件安全风险、合规风险的检出及组件依赖关系、组件完整性的分析

2、亿级知识库数据

数亿开源组件版本数据;支持CNNVD、CNVD等权威漏洞数据库;支持数千种开源许可协议的检出

3、新漏洞实时预警

支持0day漏洞的实时预警、实时查看风险的影响范围;支持以站内信、邮件等方式及时收取风险预警信息

4、高效软件资产管理

支持组件、许可、漏洞多维度数据分析;支持多级别的资产数据可视化及报告分析

5、高效便捷即买即用

以SaaS方式为客户提供服务,无须本地部署,不占用IT资源,无须投入专职运维人员,即买即用。

6、极致的性价比

平台提供灵活的计费模式,客户只需支付较少的费用,即可获得优质的服务,性价比高。

免费试用:开源组件安全及合规管理平台-SCA-软件成分分析-开源风险治理-开源网安-网安云 (wanyun.cn)