• <s id="qdnfj"><font id="qdnfj"><noframes id="qdnfj">
  • <tbody id="qdnfj"></tbody>
  • <track id="qdnfj"></track>
    <tbody id="qdnfj"><li id="qdnfj"></li></tbody>
  • <tbody id="qdnfj"><li id="qdnfj"></li></tbody>
  • <sub id="qdnfj"></sub>
  • <sub id="qdnfj"></sub>
    當前位置:首頁 > 廠商動態 > 新思科技(Synopsys)
    [導讀]新思科技《2021年開源安全和風險分析》報告(OSSRA)表明商業軟件中易受攻擊、過期及廢棄的開源組件數量呈上升趨勢。其中,97%經過審計的金融服務/金融科技行業代碼庫包含開源,而且超過60%的代碼庫存在漏洞??梢?,開源的應用十分廣泛。保護供應鏈安全,才能構建可信軟件。

    新思科技《2021年開源安全和風險分析》報告(OSSRA)表明商業軟件中易受攻擊、過期及廢棄的開源組件數量呈上升趨勢。其中,97%經過審計的金融服務/金融科技行業代碼庫包含開源,而且超過60%的代碼庫存在漏洞??梢?,開源的應用十分廣泛。保護供應鏈安全,才能構建可信軟件。

    近日,非營利性組織Linux基金會和哈佛創新科學實驗室發布了“自由和開放源碼軟件普查II - 應用庫”。這次普查列出了1,000多個最為廣泛使用的開源應用庫。新思科技網絡安全研究中心(CyRC)將自身基于數千家公司代碼庫的掃描結果數據匿名化后,貢獻給了此次普查報告,有助于更全面地了解 FOSS(自由/開源軟件,free and open source software)的使用情況。

    Linux基金會普查 II (Linux Foundation Census II)檢查了最受歡迎的開源應用庫,并且羅列了影響這些應用庫安全問題的因素。

    報告作者指出:“完全理解 FOSS 的健壯性、經濟價值和安全性是一件很難的事情,因為它是以去中心化和分布式的方式產生的?!庇捎谲浖M件打包方式以及版本分類和識別方式多種多樣,因此該報告將它們歸納匯總成8 種Top 500排名。

    新思科技軟件質量與安全部門安全解決方案經理Mike McGuire將軟件包和版本比作汽車的型號、生產年份和配置。他說:“如果我只說我開一輛豐田凱美瑞汽車,但你仍可能不會知道我開的是哪一款車。1999年版本,還是2022年版本?在訂購零部件、獲得服務、跟蹤召回等時候了解這些信息非常重要?!?

    Linux基金會普查 II的目的

    報告作者表示:“這是為了維持 FOSS 長期安全和健康的活動提供信息?!痹搱蟾婵梢詭椭覀冾A估哪些FOSS軟件包被廣泛地使用在不同的應用中。它不是評估衡量該軟件的風險狀況。許多指標可以用來風險提示,但各家企業可能對因素的權重不同。

    Mike McGuire對此表示贊同。廣泛使用并不代表更關鍵。他解釋道:“大量的應用程序可能正在使用某一特定的 Java GUI 框架,所以這個框架非常流行。但它可能不是軟件的關鍵部分。每個企業應用程序構建的方式不同,其關鍵組成也大相徑庭?!?

    盡管如此,一旦確定了使用最廣泛的軟件,我們就更容易評估風險狀況。

    開源管理的挑戰

    現在,改善軟件識別、分類和維護面臨著一些挑戰。隨著行業朝著廣泛標準化和采用軟件物料清單(SBOM)的方向發展,了解這些挑戰都非常重要,包括:

    ? 對軟件組件的標準化命名模式的需求,這樣應用程序庫就可以被唯一地標識。如果沒有標準化命名模式,企業將無法在大規模,特別是在全球范圍內,相互交流,以共享此類信息

    ? 與軟件包版本控制相關的復雜性。公司維護了一個包的內部版本,但沒有將他們的更改反饋回官方庫。這是一個意想不到的問題。在一個例子中,研究人員多次觀察到一個包的 2.87 版本,但官方庫只升級到了 2.26 版本。如果 SBOM 無法區分主版本和變更版本,此類軟件的購買者將很難知道自己是否容易受到新發現的漏洞的影響

    新思科技中國區軟件應用安全技術總監楊國梁表示:“開源軟件易獲取、開放、共享,為業界帶來豐富的紅利。但同時,對開源組件漏洞的利用,甚至偽裝成開源貢獻者預埋漏洞,這些都屢見不鮮。近期,Log4Shell和Spring4Shell漏洞在業界沸沸揚揚,這也體現了掌握已使用開源組件信息的必要性。在漏洞披露時,相關方可以采取更及時的行動。因此,軟件組成分析 (SCA) 解決方案的重要性日益凸顯。SCA可以為應用生成SBOM,如果組件中出現新漏洞,會及時主動通知用戶?!?

    大多數企業級應用,包括我們常用的購物網站、社交媒體等,服務海量用戶,需要持續地穩定運行。為此,開發人員經常使用日志,以監控應用的狀態和安全。Log4j2是提供日志功能的開源組件;Spring Core Framework用于Java應用,在基于J2EE的應用中被廣泛地使用。由此可見,Log4Shell和Spring4Shell漏洞的影響范圍之大。

    影響FOSS長期安全的問題

    這些問題包括:

    ? 大多數最廣泛使用的FOSS都是由少數貢獻者開發的。一個數據集的結果顯示,排名前 50 的包中,超過 80%的代碼行由 136 名開發人員負責。新思科技《2021年開源安全和風險分析》報告(OSSRA)曾指出開源項目的維護人員并沒有隨開源項目的普及而保持同步增長,從而經常導致開發人員精疲力竭,許多開源項目只能被放棄。如果項目被放棄,漏洞就不會得到及時修復。

    ? 個人開發者帳戶安全的重要性正在增加。個人賬戶通常不像企業賬戶那樣受到很好的保護。在這些個人開發人員帳戶的控制下的代碼進行更改要容易得多,而且不被發現。此外,如果個別開發人員長時間中斷,或出現意外,從而導致無法更新代碼,則可能會出現問題。這不是唯一的風險。例如,如果獨立的開發人員移動或刪除了他們的項目,這可能會破壞數以百萬計的依賴它的程序包

    ? 開源領域歷史遺留軟件的持久性。我們都聽說過公司宣布停止對舊版本操作系統或應用程序的支持。但這并不意味著每位用戶都停止使用這些舊版本。許多企業發現很難決定切換到不同的軟件包,因為在無法保證額外收益的情況下切換到新軟件會產生財務和時間等成本。2021年 OSSRA報告還發現85% 的代碼庫含有至少四年未曾更新的開源依賴,即使有更新版本可用,有時還有很多更新的版本。這會帶來很多隱患。新版本會修復舊版本種的錯誤。黑客往往會尋找使用舊版本的應用進行攻擊。

    Mike McGuire表示:“Linux基金會普查 II展示了最常用的FOSS以及一些深刻的洞察。雖然它不是指導,但是指出組織和個人都需要積極參與FOSS的開發,而不是留給一小部分開發人員像現在這樣領導開源項目。該報告還顯示了SCA工具在檢測開源歷史遺留軟件方面的重要性,以及 SBOM 領域對標準化的持續需求?!?

    新思科技開源專家王永雷補充道:“BOM的概念來自制造業,傳統BOM是詳細列出產品組成的物資明細。當發現缺陷零件時,制造商可以準確地知道哪個產品受到了影響,以便安排修理或更換?,F在,隨著開源組件的大規模使用,SBOM需求已經開始呈現出增長態勢。新思科技的開源管理工具Black Duck可以創建和管理企業級的上下游軟件供應鏈完整的SBOM,幫助管理在應用和容器中使用開源和第三方代碼所帶來的安全、質量和許可證合規性風險?!?

    聲明:本文僅代表作者本人觀點,不代表本站觀點,如有問題請聯系站方處理。
    換一批
    延伸閱讀

    現在,開源無處不在。開源安全已經成為供應鏈安全中的重要一環,企業需要從流程管理、安全防護等多個方面進行管控,妥善管理開源使用,以確保開源軟件的安全性。

    關鍵字: 新思科技 開源軟件 數據傳輸

    上海2022年6月30日 /美通社/ -- 2022年6月24日,易路與匯泉(上海)洋酒貿易有限公司(以下簡稱"匯泉")攜手的人力資源數字化系統上線儀式在...

    關鍵字: 數字化 數字化系統 軟件 EXCEL

    CCH Tagetik專家解決方案憑借用戶友好功能、預算編制準確性及自動化程度等優勢,滿足鐵騎力士集團的服務需求 北京2022年6月27日 /美通社/ -- 全球領先的專業信息、軟件解決方案和服務供應商威科集...

    關鍵字: TI GE 數字化 軟件

    (全球TMT2022年6月27日訊)專業信息、軟件解決方案和服務供應商威科集團宣布,四川鐵騎力士集團選擇了CCH? Tagetik績效管理專家解決方案,來改善財務結算與合并、監管合規和規劃的需求。四川鐵騎力士集團是國家...

    關鍵字: TI GE 數字化 軟件

    (全球TMT2022年6月27日訊)IBM 商業價值研究院(IBM Institute for Business Value)與牛津經濟研究院(Oxford Economics)合作開展的一項研究顯示,企業已經擺脫了采...

    關鍵字: IBM FOR SHIFT 軟件

    新思科技聯合Ansys、是德科技共同開發的高質量、緊密集成的RFIC設計產品,旨在通過全新射頻設計流程優化N6無線系統的功率和性能 加州山景城2022年6月24日 /美通社/ -- 新思科技(Synopsys, Inc...

    關鍵字: SoC 射頻 新思科技 RF

    (全球TMT2022年6月24日訊)新思科技(Synopsys, Inc.)近日推出面向臺積公司N6RF工藝的全新射頻設計流程,以滿足日益復雜的射頻集成電路設計需求。臺積公司N6RF工藝采用了業界領先的射頻CMOS技術...

    關鍵字: 射頻 新思科技 RF ANSYS

    進一步增強新思科技廣泛的應用安全測試組合產品

    關鍵字: 新思科技 數字經濟 軟件安全

    奧地利因斯布魯克2022年6月22日 /美通社/ -- 獲ISO認證的獨立安全軟件評估實驗室AV-Comparatives發布了其對Windows和Android系統互聯網安...

    關鍵字: 網絡 COMPARATIVE 軟件 PS

    (全球TMT2022年6月23日訊)獲ISO認證的獨立安全軟件評估實驗室AV-Comparatives發布了其對Windows和Android系統互聯網安全防病毒產品的長期測試結果。在這項現實世界保護測試中,共有5款產...

    關鍵字: Android 智能手機 軟件 COMPARATIVE

    編輯精選

    技術子站

    關閉
    天堂www天堂网在线
  • <s id="qdnfj"><font id="qdnfj"><noframes id="qdnfj">
  • <tbody id="qdnfj"></tbody>
  • <track id="qdnfj"></track>
    <tbody id="qdnfj"><li id="qdnfj"></li></tbody>
  • <tbody id="qdnfj"><li id="qdnfj"></li></tbody>
  • <sub id="qdnfj"></sub>
  • <sub id="qdnfj"></sub>