一、开源组件安全与合规风险
1、开源组件安全漏洞增加
根据Synopsys发布的《2023开源安全和风险分析》报告显示:84%的代码库中包含至少一个已知开源漏洞,比2022年版的OSSRA报告增加了近4%。是由于错误编码、安全审查不足或其他原因导致开源项目存在安全漏洞,攻击者可利用这些漏洞执行恶意代码,进行敏感数据窃取或入侵攻击等。
2、 大量开源代码缺乏长期维护
Synopsys审查的1481个含安全风险的代码库中 ,91%存在过去两年内未进行任何功能升级、代码改进和安全问题修复的开源代码。可见,开源代码缺乏更新维护,对开源项目安全性影响有多大。
3、依赖关系存在较大的安全隐患
一个程序通常间接或直接依赖于数千个软件库,开源代码可能比闭源代码依赖关系更多,来源于更多的供应商。Endor Labs 2022年的一份报告显示,存在95%的易受攻击依赖项都是可传递的,且这些依赖项大多深藏于软件供应链中,难以直接触及。
4、未经授权进行代码修改
恶意用户未经授权修改开源代码,引入后门或其他安全风险,进行非法信息访问、窃取或恶意攻击。
5、 开源合规性问题
开源组件开发者是在特定的开源协议下,以“既定的方式”允许公众学习、使用、修改该软件。源代码的利用虽然按开源许可证进行,但开源许可证众多,所以不同的许可证还会有着不同的知识产权保护要求。在企业日常经营活动中,如果未重视开源软件合规管理,将使企业面临巨大的潜在法律风险。
二、如何应对开源组件安全风险?
推荐使用开源组件安全及合规管理平台(SourceCheck),高效识别第三方开源组件安全风险及合规风险,定位风险影响范围,预警新漏洞,助力企业实现漏洞的快速修复和软件资产的全面管理。
1、深层组件检测能力
支持开源组件安全风险、合规风险的检出及组件依赖关系、组件完整性的分析
2、亿级知识库数据
数亿开源组件版本数据;支持 CNNVD、CNVD等权威漏洞数据库;支持数千种开源许可协议的检出
3、新漏洞实时预警
支持0day漏洞的实时预警、实时查看风险的影响范围;支持以站内信、邮件等方式及时收取风险预警信息
4、高效软件资产管理
支持组件、许可、漏洞多维度数据分析;支持多级别的资产数据可视化及报告分析
5、高效便捷即买即用
以SaaS方式为客户提供服务,无须本地部署,不占用IT资源,无须投入专职运维人员,即买即用。
6、极致的性价比
平台提供灵活的计费模式,客户只需支付较少的费用,即可获得优质的服务,性价比高。