本文是TechXchange:网络安全
您将学到什么
- What types of vulnerabilities exist in open-source software?
- 哪些许可问题影响了应用程序开发?
概念在软件业务,安全和保安中,公司关注的领域。
今年的年度2022开源安全和风险分析(OSSRA)报告您可以下载,有好事和坏事要披露。结果基于对2409个开源项目的审核。许多问题和观察结果也将适用于封闭式解决方案,但是现在大量软件取决于开源支持。
总体趋势表明总体开源代码库漏洞正在下降(图。1)。每个代码库的高风险漏洞下降了3%。不幸的是,“ 88%的代码库包含过去两年中没有新开发的组件,而这些组件在用户更新中落后。”
总体而言,几乎80%的代码库是开源的,几乎相同的百分比至少具有一个漏洞(图2)。同样,大量的项目其实ienced licensing issues. This is often due to the different licenses that are associated with components in an open-source project. A license that covers an application must take into consideration the licenses and limitations of its components.
该报告列出了前十名,其中包括错误不正确的加密算法(CVE-2020-187)和默认权限问题(CVE0-202-8022)。该报告沿着CVE数字以及Synopsys的Black Duck Security Advision(BSDA)运行。
安全性以及安全性的问题继续困扰软件行业。诸如Log4J的安全问题之类的问题很常见,并且由于广泛使用开源软件而可能会影响大量的开发人员和产品,而开源软件的维护和设计通常是模糊的。
开源软件的优点是可用性。挑战是其质量和维护。正如罗伯特·海因莱因(Robert Heinlein)的科幻小说所指出的那样月亮是一个苛刻的情妇,没有免费的午餐(Tinstaafl)。
某些工具和服务可以大大改善开源软件的支持和维护。这包括许可跟踪和管理,当各种许可涵盖不同的软件组件时,这可能很困难。
阅读更多文章TechXchange:网络安全
