新思科技發(fā)布《2020年DevSecOps實(shí)踐和開(kāi)源管理報告》

開(kāi)源已經(jīng)逐漸成為新一代軟件開(kāi)發(fā)模式，能有效推動(dòng)產(chǎn)品快速迭代。但是開(kāi)源風(fēng)險的問(wèn)題比較復雜，包括知識產(chǎn)權及合規風(fēng)險，還有安全漏洞等，而且完善的開(kāi)源治理體系還尚未構建起來(lái)。值得慶幸的是，現在有一些安全測試工具可以降低開(kāi)源使用的風(fēng)險。

新思科技（Synopsys, Inc.）近日宣布發(fā)布 《2020年DevSecOps實(shí)踐和開(kāi)源管理報告》 。該報告由 新思科技網(wǎng)絡(luò )安全研究中心 （CyRC）總結制作，采訪(fǎng)了1,500名從事網(wǎng)絡(luò )安全、軟件開(kāi)發(fā)、軟件工程和Web開(kāi)發(fā)的IT專(zhuān)業(yè)人員。該報告探討了全球企業(yè)用于解決開(kāi)源漏洞管理的策略以及日益嚴重的商業(yè)代碼中過(guò)時(shí)或棄用的開(kāi)源組件問(wèn)題。

開(kāi)源在當今的軟件生態(tài)系統中扮演著(zhù)至關(guān)重要的角色。絕大多數現代代碼庫都包含開(kāi)源組件，開(kāi)源通常占整個(gè)代碼的70％或更多。然而，開(kāi)源使用增長(cháng)的同時(shí)，不受管理的開(kāi)源帶來(lái)的安全風(fēng)險日益嚴重。實(shí)際上， 《2020年開(kāi)源安全和風(fēng)險分析》報告（OSSRA） 指出經(jīng)過(guò)新思科技審計的代碼庫中，75%包含具有已知安全漏洞的開(kāi)源組件。為了應對這種情況，受訪(fǎng)者在審查新的開(kāi)源代碼組件時(shí)將識別已知的安全漏洞作為首要標準。

新思科技網(wǎng)絡(luò )安全研究中心首席安全策略師Tim Mackey表示：“很明顯，未修補的漏洞是造成開(kāi)發(fā)人員困擾以及最終導致業(yè)務(wù)風(fēng)險的主要原因?！?020年DevSecOps實(shí)踐和開(kāi)源管理報告》強調了企業(yè)如何竭力有效地追蹤和管理其開(kāi)源風(fēng)險?！?/p>

Tim Mackey接著(zhù)說(shuō)：“超過(guò)一半（51%）的受訪(fǎng)者表示他們需要兩至三周的時(shí)間來(lái)應用開(kāi)源補丁，這可能與以下的情況有關(guān)系，僅僅38%的受訪(fǎng)者使用自動(dòng)的軟件組件分析（SCA）工具來(lái)確定使用了哪些開(kāi)源組件以及何時(shí)發(fā)布更新。其余的組織可能采用手動(dòng)的操作流程來(lái)管理開(kāi)源，這些可能會(huì )拖慢開(kāi)發(fā)和運營(yíng)團隊的速度，迫使他們在平均每天發(fā)布數十個(gè)新的安全披露的環(huán)境下來(lái)追趕安全?！?/p>

《2020年DevSecOps實(shí)踐和開(kāi)源管理報告》中值得注意的其他要點(diǎn)包括：

●   DevSecOps在全球范圍內迅速增長(cháng)?？傆?3%的受訪(fǎng)者表示他們正在將一些DevSecOps活動(dòng)融入其軟件開(kāi)發(fā)計劃中。

●   應用程序安全測試（AST）工具沒(méi)有被普遍采用。從受訪(fǎng)者對調查問(wèn)卷的回答可以看出，其實(shí)并不缺乏應用程序安全測試的工具和技術(shù)。然而，即使使用率很高的AST工具也只有不到一半的受訪(fǎng)者在使用。

媒體在開(kāi)源風(fēng)險管理中發(fā)揮著(zhù)重要的作用。46%的受訪(fǎng)者指出，媒體報道促使他們對開(kāi)源使用情況實(shí)行更加嚴格的管控。
47%的受訪(fǎng)者根據他們所使用的開(kāi)源組件的時(shí)間來(lái)定義標準。開(kāi)源社區中一個(gè)日益嚴重的問(wèn)題是項目的可持續性。新思科技 2020 OSSRA報告 顯示，在2019年被審計的代碼庫中，91%的代碼庫包含的組件已經(jīng)過(guò)期四年以上或過(guò)去兩年中沒(méi)有開(kāi)發(fā)活動(dòng)。部署過(guò)期的代碼會(huì )增加安全風(fēng)險，包括開(kāi)源組件被劫持的風(fēng)險。如2018年發(fā)生的一個(gè)事件：event-stream組件被注入惡意代碼，目的是竊取Copay錢(qián)包中的比特幣。