新思科技报告:构建全面的软件物料清单是保卫软件供应链安全的最佳防御
2023-02-23 来源:EEWORLD
新思科技报告:构建全面的软件物料清单是保卫软件供应链安全的最佳防御
开源采用率显著提高,高风险漏洞增加速度惊人
软件供应链攻击频发给业界敲响警钟。Log4Shell与Spring4Shell是这两年影响广泛的安全漏洞。不法分子可以利用此类漏洞对供应链上游软件进行攻击,导致大量下游使用的软件受到影响。那么,该如何应对呢?保护软件供应链的第一步是管理应用中的开源代码和第三方代码。避免开源、专有和商业软件带来业务风险首先要对企业使用的所有软件进行全面的盘点,无论其来自何处或是如何获得的。拥有了这个完整的清单,安全团队才能规划出前进的道路,并制订计划来应对Log4Shell等新披露的安全漏洞带来的风险。
新思科技(Synopsys, Nasdaq: SNPS) 近日发布了《2023年开源安全和风险分析》报告(2023 OSSRA)。该报告是OSSRA的第八个版本,由新思科技网络安全研究中心 (CyRC) 编制,分析了1,700 多项并购交易中涉及的商业和专有代码库的审计结果。该报告揭示了 17 个行业的开源使用趋势。
2023 OSSRA报告深入探讨了商业软件中开源安全、合规、许可证和代码质量风险的现状,以帮助安全、法律、风险和开发团队更好地把握开源安全和许可风险形势。今年的调查结果显示,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,较2022年调查结果增加了近 4%。
企业想要降低来自开源、专有和商业代码的业务风险,首要就是构建其使用的所有软件的全面清单——软件物料清单 (SBOM),无论这些软件是来自何处或如何获取。企业只有拥有了完整的清单,才能制定战略以应对Log4Shell 等新的安全漏洞带来的风险。
新思科技软件质量与安全部门总经理 Jason Schmitt 表示:“2023 OSSRA 报告强调了开源是当今绝大部分软件构建的基础。在今年的审计中,开源组件的平均数量增加了 13%(从 528 增加到 595)。这个数据进一步凸显了实施全面的 SBOM 的重要性。SBOM列出了应用中的所有开源组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来理解和降低业务风险的基本策略。”
2023 OSSRA 报告的主要发现包括:
根据过去五年OSSRA报告的数据,开源采用率显著提高:这几年,教学更多地转向线上,师生在线互动增多,进而推动了教育软件的应用,开源组件的采用也大幅提升,增长了 163%;其它行业包括航空航天、汽车、运输和物流行业,开源的采用率激增了97%;制造业和机器人领域对开源的采用率增长了 74%。
过去五年,高风险漏洞增加速度惊人:自 2019 年以来,零售和电子商务行业的高风险漏洞激增了557%;物联网 (IoT) 领域,89%被审计的代码是开源,同时,高风险漏洞增加了 130%;同样,航空航天、汽车、运输和物流垂直领域的高风险漏洞增加了 232%。
与使用许可组件的企业相比,使用没有许可的开源组件会使企业面临更大的违反版权法的风险:报告发现,31% 的代码库使用没有可识别许可证或具有定制许可证的开源代码。这比去年的 OSSRA 报告增加了 55%;缺少与开源代码相关的许可证或其它开源许可证,可能会对被许可方提出非预期的要求,因此经常需要对潜在知识产权问题或其它影响进行法律评估。
可用的代码质量和安全补丁还未普遍应用于代码库:在经审计的1,480 个含风险评估的代码库中,91% 的代码库包含过时的开源组件。除非企业能够持续使用最新且准确的 SBOM,否则过时的组件可能会被遗忘,直到演变成为易受到高风险攻击的组件。
新思科技软件质量与安全部门安全解决方案高级经理 Mike McGuire 表示:“管理开源风险的关键是保持应用内容的完整可见性。基于可见性,将风险管理构建到应用生命周期中。企业可以凭借必需的信息武装自己,以便采取明智、及时的风险解决方案。企业在采用任何类型的第三方软件时都应该正确地假设它包含了开源。而验证这一点并控制相关风险就像获得 SBOM 一样简单——供应商可以轻松提供并采取必要步骤来保护其软件供应链。”
- Synopsys如何支持汽车照明设计师改进工作流程
- 新思科技携手ZAP亮相2024进博会:助力全球首创无屏蔽放疗手术机器人实现
- 万物智能时代,新思科技下了怎么样的一盘大棋?
- 从芯片到系统赋能创新:2024新思科技开发者大会共创万物智能未来
- 新思科技发布全球领先的40G UCIe IP,助力多芯片系统设计全面提速
- 新思科技推出业内首款获得ISO/SAE 21434网络安全合规认证的IP产品,加速汽车安全领域发展
- 新思科技面向英特尔代工推出可量产的多裸晶芯片设计参考流程,加速芯片创新
- 在人工智能驱动的智能时代,半导体行业面临的挑战与应对
- 新思科技+Arm:汽车创新必备解决方案
- 是德科技联合新思科技、Ansys 为台积电 N6RF+ 制程节点提供射频设计迁移流程
- 恩智浦与深圳通合作推出业界首个基于 UWB 的轨道交通 支付解决方案
- 基于OPENCV的相机捕捉视频进行人脸检测--米尔NXP i.MX93开发板
- 超宽带的力量:重塑汽车、移动设备和工业物联网体验
- 物联网助力电动车充电设施走向未来
- 英国测试装配神经系统的无人机:无需经常落地进行检查
- 英飞凌推出XENSIV™ PAS CO2 5V传感器, 用于提高楼宇能效和空气质量
- 今年我国物联网连接数有望突破 30 亿
- 射频 FDA 如何使用射频采样 ADC 来增强测试系统
- 不止射频:Qorvo® 解锁下一代移动设备的无限未来
- Nordic Semiconductor nRF54H20 超低功耗 SoC 荣获 2024 年世界电子成就奖 (WEAA)
- e络盟社区携手恩智浦发起智能空间楼宇自动化挑战赛
- 不止射频:Qorvo® 解锁下一代移动设备的无限未来
- 物联网助力电动车充电设施走向未来
- Nordic Semiconductor推出nRF54L15、nRF54L10 和 nRF54L05 下一代无线 SoC
- 射频 FDA 如何使用射频采样 ADC 来增强测试系统
- 基于OPENCV的相机捕捉视频进行人脸检测--米尔NXP i.MX93开发板
- Nordic Semiconductor nRF54H20 超低功耗 SoC 荣获 2024 年世界电子成就奖 (WEAA)
- 英国测试装配神经系统的无人机:无需经常落地进行检查
- 超宽带的力量:重塑汽车、移动设备和工业物联网体验