广告

软件吞噬世界,开源吞噬软件,解读2021年OSSRA报告

时间:2021-05-04 作者:邵乐峰 阅读:
新思科技(Synopsys)发布的《2021年开源安全和风险分析》报告(OSSRA),重点介绍了在商业应用程序中开源应用的趋势,并且提供了见解,以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。同时,这份报告也详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。
广告

近年来,开源治理已经引起业界普遍关注,各个国家也出台政策指导开源安全管理。比如,2020年,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院就正式发布了业内首个《开源生态白皮书(2020)》。

作为该白皮书的参与方之一,日前,新思科技(Synopsys)发布了《2021年开源安全和风险分析》报告(OSSRA),这也是新思连续第5年发布类似的报告。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势,并且提供了见解,以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。这份报告也详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

2021OSSRA报告发现了什么?

2021年OSSRA报告强调,开源是所有行业绝大多数应用程序的基础;但同时,他们也在费尽心思去管理开源风险。

  • 所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。
  • 98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞。
  • 97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
  • 92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。

更令人担忧的是废弃开源组件仍在被广泛使用。例如高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。

从下图可以明显的看出,在Black Duck审计服务团队2020年审计的1,500多个代码库中,有84%包含至少一个公开开源漏洞,这比2019年的75%增加了9%,成为自2017年以来的第二大增幅。同样,包含“高风险”开源漏洞的代码库百分比在2020年增长至60%,比2019年的49%大幅增加了11%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。

新思科技软件质量与安全部门软件应用安全解决方案工程师王永雷表示,新思选取的17个行业都与开源代码有着密切联系,比例最高的达到了100%,最低的也达到了48%。但其中,95%的营销科技代码库中包含开源漏洞;71%的被审零售和电子商务代码库包含漏洞;超过60%的金融服务/金融科技和医疗保健行业代码库中包含开源漏洞。而物联网、互联网和移动应用领域的漏洞比例则呈大幅下降趋势,这与相关行业日益关注安全的趋势相吻合。而在最近5年里(2016年—2020年),开源代码在应用程序中所占比例,则由不到40%增至超过70%。

“大象一直在房间里”

这是一个当前很流行的说法,借用“大象一直在房间里,个头虽然很大,但是没有人注意到”的比拟,意指大家关心的可能并不是一个正确的方向和事务。所以,2021年OSSRA报告中还提及了其它几个需要引起重视的开源风险,包括:

  • 商业软件中过时的开源组件已成常态。

85%的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同,这些过时的开源组件拥有活跃的开发人员,但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全隐患之外,使用过时的开源组件还可能带来技术上的麻烦,包括与将来更新相关的功能问题和兼容性问题。 

王永雷提到了Linus Law,也被称之为Linus法则。该法则的核心意思归纳起来,即只要有足够多的人参与到开源项目中,那么漏洞被发现的概率就高,代码的质量就会得到改善。但事实是,如果85%的代码库含有至少四年未曾更新的开源依赖项,那么今后大部分隐藏在冰山下的组件,包括OpenSSL漏洞就很难被发现。

于是,相关挑战也随即而来,一是我们毫无意识,二是缺乏手段将其探测出来,从而形成所谓的“供应链BOM清单挑战”。

为此,新思提出了覆盖多场景扫描需求的“多因子探测技术”和工程化的“端到端开源治理解决方案”。前者是一种自动化的扫描工具,可以覆盖包括构建识别、特征码识别、指纹识别、二进制识别在内的多种场景;而后者则在识别的基础上,帮助企业发现和修复开源漏洞,验证和遵从开源许可证的条款,并提供端到端的自动化集成开源治理规则解决方案。

“从用户的角度来看,他们希望软件工具具备四个特性:1. 具有很强的探测能力;2. 自动化;3. 易于集成;4. 要形成一整套自动化的落地机制。”王永雷说。

  • 超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。

2020年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”,26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险,通常需要进行评估,尤其涉及到合并和收购交易的时候。

如果按行业划分,存在开源许可证冲突的代码库比例最高的行业(86%)是能源和清洁科技以及制造业、工业和机器人行业。零售和电子商务行业中存在开源代码许可证冲突的代码库的比例最低,为47%。

  • 开源漏洞趋势朝着错误的方向发展。

2020年,包含存在漏洞的开源组件的代码库百分比为84%,较2019年上涨了9%。同样,包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。CVE-2019-10744在这两年的代码库审计中出现率均为29%,该漏洞被美国国家漏洞数据库(NVD)归为“严重”级别的lodash漏洞,对常用JavaScript库4.17.12之前的所有版本均有影响。

同时,大多数应用程序都依赖于数百个开源库——在2020年的审计中,每个代码库的平均开源库数为528个。软件组成分析工具自动生成的开源代码清单或物料清单可以提供应对安全风险所需的全面信息。

王永雷说,像CVE-2019-10774这样的漏洞存在着共同点,即大部分都是基于前端页面的组件,主要由远程攻击、远程操纵、跨站点脚本攻击、原型污染等通过网络交互产生。对此,他建议称,随着网络化、云化越来越普及,关注点首先应放在风险上,在具体的治理手段上,可以使用明文显示的模型,而不是采用一些没有原型的对象或者未知的数据去操作。

而在谈及半导体行业面临的开源风险正在不断加剧话题时,王永雷表示,随着摩尔定律的速度开始放缓,如何通过软件算法最大限度的挖掘硬件潜力,成为了行业热议的话题。而一旦软件使用比例开始上升,漏洞风险、供应链物料清单风险、合规风险都会相应增加,如果再考虑国际合作,那么产品算法还要符合相关出口法案安全规定,这些都需要相关企业加以认真思考。

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
邵乐峰
ASPENCORE 中国区首席分析师。
  • 美国进入国家紧急状态背后的安全思考 在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。
  • 密歇根大学的无敌CPU在美国防部DARPA组织的强大硬件漏 美国国防部高级研究计划局组织了580名网络安全的专家总共花费了13000个小时来攻克代号“墨菲斯(Morpheus)”的处理器,然而并没有攻克。号称完美的无敌CPU究竟有何魔力,本文带你一探究竟。
  • 美国议员建议管制所有14nm以下中国芯片公司 美国国会参议员迈克尔·麦考尔和汤姆·科顿在写给美国商务部吉娜·雷蒙多的一封信中,谈及到了关于设计14nm以下所有的中国芯片公司实施出口管制。这两位美国议员的建议不只是要对14nm工艺芯片的制造设备管制,更主要是要对EDA软件限制……
  • RISC-V一众开源硬件们,能否复制Linux的成功? 当前的RISC-V是一种开放的架构,作为一项标准提供,让开发人员可以自由、灵活且迅速地用它来进行产品设计。但另一方面,硬件更加复杂,有多层堆栈,因此不像软件包那样简单。本文针对RISC-V硬件生态系统的利益相关业者进行了调查,描述开源软硬件的相似性、导入的障碍以及支持社群和生态系统的重要性,最后并探讨开源硬件对商业芯片制造商的意义。
  • 重一步逻辑验证,省百步漏洞补缺 一款软件从设计到实现,往往会被拆分成许多小的功能模块,分别实现后再组装整合。大量简单的业务逻辑被用于构建复杂而又丰富的业务逻辑,设计或实现上的偏差或缺陷都会导致漏洞的产生。
  • 日月光旗下AFG 集团遭遇 REvil 勒索病毒,上个月曾攻击 半导体封测厂商日月光发布公告称,由子公司环旭电子100%控股的孙公司Asteelflash Group(AFG 集团),IT 团队在进行例行检查时发现,有部分服务器感染 REvil 勒索软件,已及时采取防御措施避免扩散。今年3月,宏碁(Acer)也遭REvil勒索软件攻击,黑客团伙索要赎金5000万美元,创造了勒索病毒历史上索要赎金的最高纪录……
  • Intel 11代酷睿1处理器正式发布:10 今晚,Intel发布的11带酷睿处理器采用10nm制程,面向高性能移动桌面版。同时发布的还有同样架构的至强W-11000系列,面向高性能移动工作站。
  • AMD RX 6600系列或配备8GB显存 MD的RX 6600系列可能配备的不是之前传闻的6或12GB显存,二是8GB。可能包含64MB的内置Infinity Cache。
  • Silicon Labs全新Matter解决方案简 物联网行业的成功取决于简便性、可靠性和安全性,Matter无线解决方案使开发人员可以专注于创新并将产品推向市场,以实现无缝的消费者体验。
  • 新思科技为中兴通讯提供BSIMM软件 安全对于任何构建和使用软件的企业和个人来说都至关重要, 中兴通讯采取积极主动的安全举措,包括采用新思科技(Synopsys)的Coverity 静态应用安全测试、Defensics 模糊测试、Black Duck 软件组成分析以及软件安全构建成熟度模型(BSIMM)评估等。
  • 中国电信5G承载STN集采:华为、中兴、烽火和新华三中标 5月12日,中国电信公示《2021年STN设备建设工程集中采购项目》STN-B标包中标候选人。根据评审结果,中标候选人推荐如下:1.第一中标候选人(1)单位名称:华为技术有限公司和华为技术服务有限公司
  • 图文解说S参数(基础篇) 1、简介:从时域与频域评估传输线特性简介:从时域与频域评估传输线特性良好的传输线,讯号从一个点传送到另一点的失真(扭曲),必须在一个可接受的程度内。而如何去衡量传输线互连对讯号的影响,可分别从时域与频
  • 谁才是国产芯片赛道的最强王者? 来源/君临财富(ID:junlin_1980)作者/君临研究中心封面/图虫创意疫情后的世界经济,迎来了爆发式增长。4月20日,根据Strategy Analytics数据,2021年Q1全球智能机出货
  • 4月动力电池数据的一些分析 在汽协的数据发布以后,我觉得有一些内容可以解释了,其实比对国内中国汽车动力电池产业创新联盟数据、上险数据还有SNE的数据,这里国内电池产量和装机量已经出现很大的背离原因现在有解释了。这里有几个因素,一
  • AMD 4700S神秘处理器拆机:果然猜对了! 近日,电脑品牌麦本本上架了一款特殊的迷你机,处理器是从未见过的AMD 4700S,号称全球首发。7nm工艺,Zen2架构,8核心16线程,频率最高4.0GHz,同时内存并非普通的DDR4,而是板载了1
  • 重磅!拜登延长禁令,持续施压华为!  中国半导体论坛 振兴国产半导体产业!    5月13日消息,据美媒报道,美国总统拜登宣布延长前总统特朗普2019年签署的行政命令,继续禁止美国企业使用那些存在国家安全风
  • 比亚迪、斯达、中车时代领跑!IGBT迎来新能源汽车爆发机遇 国家政策鼓励车规级半导体发展,IGBT已成为新能源汽车核心部件国内IGBT产业呈现比亚迪、斯达、中车时代三强领跑,多家直追的趋势汽车半导体技术与市场论坛2021将于6月24-25长沙举办,中车时代电气
  • 三星越南厂供应商现大规模感染  中国半导体论坛 振兴国产半导体产业!    5月13日,据外媒报道,三星电子位于越南的一家供应商工厂有约40名员工冠状病毒检测呈阳性。据当地卫生当机构称,自5月9日以来
  • 嵌入式方案设计文档该怎么写? 俗话说,不会写文档的工程师不是好的工程师!如果你只会写代码,而从不写文档,迟早有一天会“出事”。这不是危言耸听,现实生活中有很多活生生的例子。1不写文档有什么后果?如果不写文档,开发过程中就会出现类似
  • 一位老电子工程师的十年职场感悟 ▲ 了解更多精彩内容 点击上方蓝字关注我们当电子工程师也是十余年了,不算有出息,环顾四周,也没有看见几个有出息的!回顾工程师生涯,感慨万千,愿意讲几句掏心窝子的话,也算给咱们师弟师
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了