《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 新思科技發(fā)布《2020年DevSecOps實(shí)踐和開源管理報(bào)告》

新思科技發(fā)布《2020年DevSecOps實(shí)踐和開源管理報(bào)告》

訪問(wèn)全球1,500名IT專業(yè)人員,40%表示為解決開源漏洞而拖慢了交付計(jì)劃
2020-12-09
來(lái)源:典范公關(guān)
關(guān)鍵詞: 開源 DevSecOps

開源已經(jīng)逐漸成為新一代軟件開發(fā)模式,能有效推動(dòng)產(chǎn)品快速迭代。但是開源風(fēng)險(xiǎn)的問(wèn)題比較復(fù)雜,包括知識(shí)產(chǎn)權(quán)及合規(guī)風(fēng)險(xiǎn),還有安全漏洞等,而且完善的開源治理體系還尚未構(gòu)建起來(lái)。值得慶幸的是,現(xiàn)在有一些安全測(cè)試工具可以降低開源使用的風(fēng)險(xiǎn)。

 

新思科技(Synopsys, Inc.,Nasdaq: SNPS)宣布發(fā)布《devsecops-practices-open-source-management.html?cmp=pr-sig&utm_medium=referral" target="_self">2020年DevSecOps實(shí)踐和開源管理報(bào)告》。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心(CyRC)總結(jié)制作,采訪了1,500名從事網(wǎng)絡(luò)安全、軟件開發(fā)、軟件工程和Web開發(fā)的IT專業(yè)人員。該報(bào)告探討了全球企業(yè)用于解決開源漏洞管理的策略以及日益嚴(yán)重的商業(yè)代碼中過(guò)時(shí)或棄用的開源組件問(wèn)題。

 

開源在當(dāng)今的軟件生態(tài)系統(tǒng)中扮演著至關(guān)重要的角色。絕大多數(shù)現(xiàn)代代碼庫(kù)都包含開源組件,開源通常占整個(gè)代碼的70%或更多。然而,開源使用增長(zhǎng)的同時(shí),不受管理的開源帶來(lái)的安全風(fēng)險(xiǎn)日益嚴(yán)重。實(shí)際上,《2020年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)指出經(jīng)過(guò)新思科技審計(jì)的代碼庫(kù)中,75%包含具有已知安全漏洞的開源組件。為了應(yīng)對(duì)這種情況,受訪者在審查新的開源代碼組件時(shí)將識(shí)別已知的安全漏洞作為首要標(biāo)準(zhǔn)。

 

新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示:“很明顯,未修補(bǔ)的漏洞是造成開發(fā)人員困擾以及最終導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的主要原因。《2020年DevSecOps實(shí)踐和開源管理報(bào)告》強(qiáng)調(diào)了企業(yè)如何竭力有效地追蹤和管理其開源風(fēng)險(xiǎn)。”

 

Tim Mackey接著說(shuō):“超過(guò)一半(51%)的受訪者表示他們需要兩至三周的時(shí)間來(lái)應(yīng)用開源補(bǔ)丁,這可能與以下的情況有關(guān)系,僅僅38%的受訪者使用自動(dòng)的軟件組件分析(SCA)工具來(lái)確定使用了哪些開源組件以及何時(shí)發(fā)布更新。其余的組織可能采用手動(dòng)的操作流程來(lái)管理開源,這些可能會(huì)拖慢開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)的速度,迫使他們?cè)谄骄刻彀l(fā)布數(shù)十個(gè)新的安全披露的環(huán)境下來(lái)追趕安全?!?/p>

 

《2020年DevSecOps實(shí)踐和開源管理報(bào)告》中值得注意的其他要點(diǎn)包括:

DevSecOps在全球范圍內(nèi)迅速增長(zhǎng)。總計(jì)63%的受訪者表示他們正在將一些DevSecOps活動(dòng)融入其軟件開發(fā)計(jì)劃中。

 

應(yīng)用程序安全測(cè)試(AST)工具沒(méi)有被普遍采用。從受訪者對(duì)調(diào)查問(wèn)卷的回答可以看出,其實(shí)并不缺乏應(yīng)用程序安全測(cè)試的工具和技術(shù)。然而,即使使用率很高的AST工具也只有不到一半的受訪者在使用。

 

媒體在開源風(fēng)險(xiǎn)管理中發(fā)揮著重要的作用。46%的受訪者指出,媒體報(bào)道促使他們對(duì)開源使用情況實(shí)行更加嚴(yán)格的管控。

47%的受訪者根據(jù)他們所使用的開源組件的時(shí)間來(lái)定義標(biāo)準(zhǔn)。開源社區(qū)中一個(gè)日益嚴(yán)重的問(wèn)題是項(xiàng)目的可持續(xù)性。新思科技2020 OSSRA報(bào)告顯示,在2019年被審計(jì)的代碼庫(kù)中,91%的代碼庫(kù)包含的組件已經(jīng)過(guò)期四年以上或過(guò)去兩年中沒(méi)有開發(fā)活動(dòng)。部署過(guò)期的代碼會(huì)增加安全風(fēng)險(xiǎn),包括開源組件被劫持的風(fēng)險(xiǎn)。如2018年發(fā)生的一個(gè)事件:event-stream組件被注入惡意代碼,目的是竊取Copay錢包中的比特幣。

 

下載《2020年DevSecOps實(shí)踐和開源管理報(bào)告》,或者點(diǎn)擊這里,了解更多開源安全與許可證合規(guī)信息。

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。