历史上的今天
X
首页
最能打的中国芯评选
技术
模拟电子
单片机
半导体
电源管理
嵌入式
传感器
应用
汽车电子
工业控制
家用电子
手机便携
安防电子
医疗电子
网络通信
测试测量
物联网
大学堂
首页
直播
专题
TI 培训
论坛
汽车电子
国产芯片交流
电机驱动控制
电源技术
单片机
模拟电子
PCB设计
电子竞赛
DIY/开源
嵌入式系统
医疗电子
颁奖专区
【厂商专区】
【电子技术交流】
【创意与实践】
【行业应用】
【休息一下】
活动中心
直播
发现活动
颁奖区
电子头条
参考设计
下载中心
分类资源
文集
排行榜
电路图
Datasheet
返回首页

历史上的今天

今天是:2025年05月15日(星期四)

正在发生

2019年05月15日 | 新思科技OSSRA报告,深入分析开源应用的趋势与模式

2019-05-15 来源:EEWORLD

很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。

 

美国新思科技公司  (Synopsys, Nasdaq: SNPS)近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1,200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。

 

image.png?imageView2/2/w/550

报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。


image.png?imageView2/2/w/550

新思科技网络安全研究中心首席安全策略师Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”


2019年OSSRA报告中最值得注意的开源风险趋势包括:

● 开源采用率大幅提升。2018年审计的代码库中96%包含开源组件,每个代码库中平均有298个开源组件,2017年则为257个。

●  开源许可证冲突可能会使知识产权面临风险。68%的代码库包含某种形式的开源许可证冲突,38%的代码库包含没有可识别许可证的开源组件。

● “废弃”组件的使用很常见。85%的代码库包含过去四年以上老式的组件或者过去两年没有开发的组件。如果一个组件处于非活跃状态或者无人维护,也就意味着没有人正在处理其潜在的漏洞。

● 许多组织未能修补或更新其开源组件。2018年黑鸭审计中确定的漏洞的平均年龄是6.6年,略高于2017年 。这表明补救措施没有显著改善。2018年扫描的代码库中有43%包含超过十年以上的漏洞。国家漏洞数据库(National Vulnerability Database)显示2018年增加了16,500个新漏洞,其明确的修补流程需要扩展以适应增加的披露的漏洞。

● 并非所有的漏洞都相同,但许多企业甚至没有解决那些风险最高的漏洞。超过40%的代码库包含至少一个高风险开源漏洞。


报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:


· 企业在管理开源安全漏洞方面正渐入佳境。2018年审计的代码库中有60%包含至少一个漏洞,相比2017年的78%已经改善不少。

· 总体而言,开源许可证合规性也得到了改善。2018年审计的代码库中有68%包含有许可证冲突的组件,2017年则为74%。


image.png?imageView2/2/w/550

新思科技 开源应用

上一篇:从人工智能到云,英特尔开源技术推动软件栈创新

下一篇:Riccardo Di Blasio被任命为Commvault首席营收官

推荐阅读
2018年05月15日 | 无人车的“眼睛”,国产自主研发情况如何?
我们都知道,人靠眼睛看路,那无人车呢?其实激光雷达就是无人车的“眼睛”。那详细内容是如何呢?我们一起来看下吧。伴随自动驾驶的落地,原来主要用于三维扫描的激光雷达,成为自动驾驶汽车的必备,甚至决定着自动驾驶行业的进化水平。但在这个切中行业要害的领域,国货几乎没有话语权。激光雷达不可取代激光雷达是个传感器,自带光源,主动发出激光,感...
2019年05月15日 | 安森美半导体在AutoSens 2019展示汽车图像传感器、激光雷达方案
展示全面的汽车感知阵容,包括用于车舱内、倒车和环视摄像机、先进驾驶辅助系统(ADAS)前视摄像机和摄像机监控系统的传感器推动高能效创新的安森美半导体(ON Semiconductor,美国纳斯达克上市代号:ON),将在美国密歇根州底特律的AutoSens大会展示全面的汽车应用传感器阵容,重点展示针对车舱内应用的下一代RGB-IR图像传感器方案和用于先进驾驶辅助系统(AD...
2020年05月15日 | 波士顿动力Spot机械狗上市,实现高度智能化
(文章来源:中国工控网) 多年来,波士顿动力公司(Boston Dynacs)逼真的机器人让互联网既兴奋又恐惧。这家工程和机器人公司已经生产出了技术高超的机器,如果你相信人类注定要灭亡,并且机器人的崛起即将到来,那么这些机器绝对会让你的噩梦萦绕心头。例如,该公司的机器人已经显示出了躲避障碍物的能力,还能在仓库中轻松的搬运箱子,灵巧地应对楼...
2021年05月15日 | 加速科技和厦门工研院合作,打造半导体测试创新平台
杭州加速科技有限公司(以下简称“加速科技”)与厦门半导体工业技术研发有限公司(简称“厦门工研院”)正式签署合作协议。加速科技官方消息显示,本次与厦门工研院正式签约之后,双方将发挥各自核心优势,打通关键技术瓶颈,将半导体测试前沿研究成果与产业的实际发展需求相融合,打造集先进技术研发和产业化推广于一体的半导体测试创新平台。据悉,加速...

史海拾趣

Bharat Electronics Ltd公司的发展小趣事

随着市场的不断变化和竞争的加剧,BEL并未满足于现状,而是积极寻求多元化发展。公司不仅拓展了原有的军事电子领域,还涉足电信、运算、公共运输和广播等多个行业。同时,BEL还积极拓展全球市场,将产品出口到多个国家和地区,实现了从区域性企业向全球性企业的跨越。

Dantona Industries公司的发展小趣事

Dantona Industries公司的创始人,Daniel Tona,在电子工程领域拥有深厚的背景。他看到了电子行业的巨大潜力,决定创立自己的公司。起初,他只有一间小办公室和几个志同道合的伙伴。为了节省成本,他们经常需要亲自采购材料、组装产品,甚至进行市场推广。在这个过程中,他们遇到了资金短缺、技术难题以及市场竞争等多重挑战。然而,凭借对技术的执着和对市场的敏锐洞察力,Daniel Tona带领团队一步步克服困难,逐渐在电子行业站稳了脚跟。

Crocus公司的发展小趣事

展望未来,Crocus将继续致力于TMR传感器技术的研发与创新。公司计划进一步拓展产品线,提升产品性能,满足更多领域的需求。同时,Crocus还将加强与产业链上下游企业的合作,共同推动整个电子行业的发展。

这五个故事展示了Crocus公司在电子行业中的发展历程和取得的成就。从创立初期的艰难探索到技术突破、产品升级、与Allegro的合并、市场拓展以及未来的持续创新,Crocus始终保持着积极进取的精神和不断创新的态度,为电子行业的发展做出了重要贡献。

东晶(ECEC)公司的发展小趣事

东晶电子自创立以来,始终将技术创新作为公司发展的核心动力。在21世纪初,随着通信技术的迅猛发展,对高性能、高稳定性的石英晶体元器件需求急剧增加。东晶电子凭借其强大的研发团队,成功研发出一系列高精度、高稳定的石英晶体谐振器和振荡器,打破了国外厂商的技术垄断,为中国通信产业提供了关键元器件支持。这一技术突破为公司赢得了市场口碑,也奠定了其在电子行业中的领先地位。

HEC Inc公司的发展小趣事

面对日益激烈的市场竞争和环境保护的压力,东晶电子坚持品质至上和绿色生产的理念。公司引进了先进的品质管理体系和环境管理体系,通过ISO9001、ISO14000等认证,确保产品质量的稳定性和可靠性。同时,公司还积极推广绿色生产理念,采用环保材料和工艺,降低生产过程中的能耗和排放,实现可持续发展。

振华(CEC)公司的发展小趣事

随着企业规模的不断扩大和市场竞争的加剧,振华意识到单纯的自我发展已经难以满足企业的长远发展需求。因此,公司开始积极探索并购与资源整合的道路。通过并购具有技术优势和市场潜力的企业,振华不仅获得了更多的技术资源和市场份额,还实现了产业链的延伸和拓展。同时,公司还注重内部资源的整合和优化,提高资源的利用效率和管理水平。

问答坊 | AI 解惑

开发都需要学习哪些软件

总结起来最主要的有以下几个吧 1 ADS调试用 确切的说是ADS AXD。ADS里包含AXD。原来都用SDT后来ARM公司停止对SDT支持了,改支持ADS了,还是用ADS吧。 有的人的程序发布的仍然是SDT版本的,但基本都可以找到相应ADS的,新人在这里不要发蒙。ADS是 ...…

查看全部问答>

uC/OS中断函数使用信号量出问题

我在uC/OS的中断服务程序中只要不调用函数,中断服务程序是可以运行的,但是一旦中断服务函数中涉及信号量,则外部等待这个信号量的任务只会执行一次就死在那里了! 串口中断接收程序: interrupt 20 void iUART0_Receive(void){    OSIn ...…

查看全部问答>

中国营养健康教育信息化工程启动

    由中国健康教育协会、中国保健协会食物营养与安全专业委员会、中国营养师网等单位共同发起,华夏量健(北京)科技有限公司全程支持的中国营养健康教育信息化工程启动仪式近日在首届中国营养健康教育高峰论坛上成功举行。   ...…

查看全部问答>

s3c2440的串口问题

我有一块S3C2440的板子,装好后通电三组串口好像短路一样,相互之间的阻值只有几十欧,用串口0连PC开机就不断输出乱码或者00 00....,本来调试串口是UART1的,即使启动时的调试信息也是通过UART1输出的。很奇怪,不知道是什么原因。…

查看全部问答>

【讨论】wince系统下的波形失真问题?

一个采集音频信号并且输出波形的小程序。 在EVC中的模拟器下可以看到比较好的效果,无信号时的零线平滑笔直。 下载到板子上,再运行程序,就会发现零线是一条小锯齿的形状,通过一条音频线将PC与ARM相连,短路相接也还是有锯齿。。。 问问大虾这 ...…

查看全部问答>

新手求助如何实现USB功能

  本人做的项目是车载导航多媒体系统,主板是Pxa270,现在要添加usbhost驱动, 不知道PB工程里怎么修改,驱动程序生成的是DLL吗?大家说详细点 谢谢!…

查看全部问答>

请汇编高手看看这个程序:混编的

以下是源码,我想弄清楚unsigned long GetCurTick(void)返回的值有什么用,是不是一个OS的计数值,与系统的时钟有关。 static unsigned long curTimer; static unsigned long TimeOutIni=5400; unsigned long GetCurTick(void) { unsigned lo ...…

查看全部问答>

DMC1824的LI命令的问题?

两个LI命令之间,轴都是硬性停止,没有减速停止,我在之间也用了AM命令也不行,除非写两个程序#B,#C  每个一个LI就可以 减速停止,   两个LI命令之间,轴都是硬性停止      …

查看全部问答>

ARM初学者

大家好! 我是电子信息开发领域的新手,现在想学习基于ARM Cortex M0内核的系统,不知道应该如何入门?本人貌似只有一些单片机的基础,还有就是电子领域的基本知识(数电、模电、高频电路、51单片机、C程序设计等),不知道学习ARM的难度大吗? ...…

查看全部问答>

新手求救:谁有2407扩展cy7c1021cv33 RAM的电路图

我想扩展一片64Kcy7c1021cv33的RAM作调试程序用,谁有这方面的电路图?主要是不知道该把接DS,还PS。     谢谢 brettwkl@163.com…

查看全部问答>