《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 《全球開源生態(tài)研究報告(2022年)》發(fā)布 繁榮之下暗流涌動

《全球開源生態(tài)研究報告(2022年)》發(fā)布 繁榮之下暗流涌動

2022-11-06
來源:安全419
關鍵詞: 開源生態(tài)

  由中國信通院、中國通信標準化協(xié)會主辦,云計算標準和開源推進委員會承辦的“2022 OSCAR開源產(chǎn)業(yè)大會”在北京舉行,大會上發(fā)布了《全球開源生態(tài)研究報告(2022年)》(以下簡稱“報告”)。

  報告首次梳理了全球開源生態(tài)發(fā)展對數(shù)字經(jīng)濟的積極影響,并總結了開源對各技術領域的重要驅動。同時,從全球開源生態(tài)趨勢演進、開源項目穩(wěn)步增長、開源社區(qū)多態(tài)均衡發(fā)展、開源應用持續(xù)提升、開源投融資異?;馃帷㈤_源風險影響凸顯等多方面進行全面洞察,并結合現(xiàn)有形勢展望了我國開源生態(tài)的發(fā)展機遇,為開源行業(yè)從業(yè)者提供重要參考。

  開源作為數(shù)字經(jīng)濟時代一種新思維、新模式,對促進數(shù)字技術創(chuàng)新、優(yōu)化軟件生產(chǎn)模式、賦能傳統(tǒng)行業(yè)轉型升級、推動企業(yè)降本增效具有重要作用,為全球數(shù)字經(jīng)濟高速發(fā)展注入無限活力。與此同時,開源生態(tài)繁榮發(fā)展背后,風險隱患備受關注。

  開源代碼安全問題凸顯,影響較為嚴重

  微信圖片_20221106162048.jpg

  2015年-2020年開源安全漏洞數(shù)量及變化趨勢

  代碼庫中的安全漏洞風險較為嚴重。根據(jù)Snyk和Linux基金會2022年發(fā)布的開源安全調查報告,一個應用程序開發(fā)項目平均有49個漏洞和80個直接依賴項,此外,修復開源項目漏洞所需的時間也在穩(wěn)步增加。

  微信圖片_20221106162051.jpg

  全球重點行業(yè)開源代碼庫安全風險熱力圖

  物聯(lián)網(wǎng)、航天、互聯(lián)網(wǎng)行業(yè)的安全風險極為突出。根據(jù)新思科技《2022開源安全與風險分析報告》顯示,2021年的統(tǒng)計數(shù)據(jù)中包含開源漏洞的代碼庫最高的五個的行業(yè)有物聯(lián)網(wǎng)、航空航天、汽車、運輸和物流、互聯(lián)網(wǎng)和移動APP。最低的三個行業(yè)為網(wǎng)絡安全、電信和無線、互聯(lián)網(wǎng)和軟件基礎架構。

  微信圖片_20221106162053.jpg

  組件漏洞開源依賴傳播范圍

  開源漏洞傳播性風險非常嚴重。根據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調中心發(fā)布的《2021年開源軟件供應鏈安全風險研究報告》顯示,原始樣本中有6416個開源組件,受組件依賴關系的影響,開源漏洞一級傳播一共波及801164個直接依賴組件,其影響范圍擴大125倍。二級傳播一共波及1109519個間接依賴組件,影響范圍擴大174倍。開源模式下開源軟件傳播快、應用廣,客觀上加劇了安全漏洞傳播的速度和范圍,造成傳染性傳播的局面。

  開源許可證無處不在

  合規(guī)風險得到逐漸重視

  隨著各行各業(yè)越來越多地使用開源代碼,圍繞開源合規(guī)的討論成為焦點。軟件自由保護協(xié)會訴訟Vizio違反GPL、甲骨文訴谷歌版權侵權案塵埃落定等事件表明,軟件行業(yè)對于開源法務和合規(guī)的意識正在增強,開源許可證風險值得關注。

  微信圖片_20221106162056.jpg

  包含無許可證或自定義許可證的開源代碼庫占比

  根據(jù)新思科技發(fā)布的《2022開源安全與風險分析報告》指出,2021年審計的代碼庫中有53%包含有許可證沖突的開源代碼,有17%存在許可證兼容性問題。無許可證或自定義許可證問題得到改善。

  供應鏈風險較為隱蔽

  發(fā)展形勢極其嚴峻

  開源軟件供應鏈關系網(wǎng)絡復雜,蘊含嚴重風險問題。目前,“供應鏈”通常牽涉數(shù)十個(甚至數(shù)千個)個體開發(fā)人員、組織機構、軟件片段以及將它們交織在一起的工具、策略和程序。雖然這種趨勢降低了編程人員的準入門檻、縮短了產(chǎn)品的上市時間,但同樣也留下了嚴重的風險隱患,主要包括關鍵開源組件的可持續(xù)維護挑戰(zhàn)。

  基于此,安全419啟動了軟件供應鏈安全解決方案系列調研,邀請細分領域內代表廠商分享自身前沿觀點、創(chuàng)新技術和最佳實踐,希望為企業(yè)組織更好應對軟件供應鏈面臨的風險與挑戰(zhàn)提供參考借鑒。

  開源風險管控機制不完善,未來開源風險將進入集中暴露期。根據(jù)Snyk和Linux Foundation調查結果,只有49%的組織制定了開源軟件開發(fā)或使用的風險管控策略,企業(yè)更偏向于對功能需求的驗證,忽視了源代碼和使用的基礎開源組件的安全性。

  企業(yè)未建立完整的開源軟件使用管理機制,導致開發(fā)人員對開源軟件基本處于“只用不說”的狀態(tài),企業(yè)更無法了解正在使用的軟件系統(tǒng)是否包含了開源軟件。一旦軟件產(chǎn)品交付,開源軟件的風險問題也將為整個信息系統(tǒng)的安全運營帶來極大的安全挑戰(zhàn)。

  如果產(chǎn)業(yè)不能建立完善的開源安全審查評估和風險治理機制,開源風險事件數(shù)量將不斷攀升、發(fā)生頻率將不斷提高、后果將越發(fā)嚴重。用戶針對軟件供應鏈安全所面臨的問題也亟待解答,安全419近日啟動了《軟件供應鏈安全解決方案》系列訪談選題,邀請領域內代表廠商分享自身創(chuàng)新技術和最佳實踐,希望為企業(yè)應對開源軟件風險提供參考借鑒。在此,也歡迎更多具備相關能力的優(yōu)秀廠商參與該選題,一同守護開源生態(tài)安全。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。