現(xiàn)代應(yīng)用中始終包含大量的開源組件，并可能存在安全 性、許可和代碼質(zhì)量問題。如何管理開源的使用非常重要。對商業(yè)軟件與開源軟件之間的差異越是關(guān)注，結(jié)果就越好。

　　新思科技的年度OSSRA報告旨在深入剖析商業(yè)軟件中開源安全性、合規(guī)性和代碼質(zhì)量風(fēng)險的情況，助力企業(yè)開發(fā)安全、高質(zhì)量的軟件。

　　美國新思科技公司  （Synopsys, Nasdaq: SNPS）近日發(fā)布了（2020年開源安全和風(fēng)險分析》報告（OSSRA）。該報告由新思科技網(wǎng)絡(luò)安全研究中心 （CyRC）制作，研究了由Black Duck審計服務(wù)團隊執(zhí)行的對超過1,250個商業(yè)代碼庫的審計結(jié)果。報告重點介紹了在商業(yè)應(yīng)用程序中開源應(yīng)用的趨勢和模式，并且提供見解和建議，以幫助企業(yè)從安全性、許可證合規(guī)性和操作角度更好地管理開源風(fēng)險。

　　2020 OSSRA報告重申了開源在當(dāng)今軟件生態(tài)系統(tǒng)中的關(guān)鍵作用，揭示了過去一年中經(jīng)過審計的所有有效代碼庫（99%）至少包含一個開源組件，其中開源占所有代碼的70%。值得注意的是，老化或廢棄的開源組件仍然被廣泛使用，91%的代碼庫中包含的組件已經(jīng)過期四年以上或過去兩年中沒有開發(fā)活動。

　　在今年的分析中，最令人擔(dān)憂的趨勢是未管理的開源代碼帶來的安全風(fēng)險日益增加，經(jīng)過審計的代碼庫中，75%包含具有已知安全漏洞的開源組件，而去年這一比例是60%。同樣，將近一半（49%）的代碼庫包含高風(fēng)險漏洞，去年則為40%。

　　新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示：“我們很難摒棄開源在現(xiàn)代軟件開發(fā)和部署中扮演的重要角色；但是卻很容易從安全性和許可證合規(guī)性角度忽略它如何影響應(yīng)用程序風(fēng)險態(tài)勢。2020年OSSRA報告強調(diào)企業(yè)如何持續(xù)努力有效地追蹤和管理其開源風(fēng)險。維護(hù)一個準(zhǔn)確的第三方軟件組件庫包括開源依賴項，并對其保持更新是從多個層面處理應(yīng)用程序風(fēng)險的關(guān)鍵起點。”

　　想要了解更多，可以點擊下載點擊下載2020年OSSRA報告