开源软件在安全、许可证合规性和维护等仍存在大量漏洞

2024-11-17 贝博下载网站

日前，新思科技 (Synopsys, Nasdaq: SNPS)发布了《2021年开源安全和风险分析》报告（OSSRA）。该报告由新思科技网络安全研究中心（CyRC）制作，研究了由Black Duck审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势，并提供了见解，以帮企业和开源开发者更好地明白他们所处的互联软件ECO。这份报告也详细地介绍了非托管开源所带来的安全风险隐患，包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

2021年 OSSRA报告强调，开源是所有行业绝大多数应用程序的基础；但同时，他们也在费尽心思去管理开源风险。

所有经过审计的营销科技类公司的代码库都包含开源，包括CRM客户关系管理系统及社会化媒体。其中95%的营销科技代码库存在开源漏洞。

97％的金融服务/金融科技行业代码库包含开源，其中超过60％的代码库存在漏洞。

更令人担忧的是废弃开源组件仍在被普遍的使用。高达91%的代码存在开源依赖项，这些开源组件在过去两年内没有一点开发活动——不进行代码改进，也没有一点安全修复。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示：“超过90%的代码库使用了在过去两年没发生任何开发活动的开源组件，这不足为奇。与供应商能直接将信息推送给用户的商业软件不同，开源更需要社区参与才能蒸蒸日上。假如没有社区参与，企业就将开源组件用于商业软件，项目活力很容易减弱。废弃项目不是新问题，但是当它们出现时，解决安全问题变得更困难。解决方案很简单，投资那些利于业务成功的项目。”

新思科技软件应用安全解决方案工程师王永雷表示，许多基于前端页面组件的漏洞都能轻松实现远程攻击或操作。“随网络及云化越来越普及，我们提议关注开源的风险，并且需要重视安全治理，否则非常容易被攻击导致数据泄露等重大风险。”

商业软件中过时的开源组件已成常态。85% 的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同，这些过时的开源组件拥有活跃的研发人员，但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全风险隐患之外，使用过时的开源组件还可能带来技术上的麻烦，包括与将来更新相关的功能问题和兼容性问题。 “大家的眼睛只盯在头部组件，但还有大部分组件隐藏在冰山下面，比如包括我们提到的OpenSSL，它的漏洞是好多年后才被发现的。”王永雷说道。

开源漏洞趋势朝着错误的方向发展。2020年，包含存在漏洞的开源组件的代码库百分比为84%，较2019年上涨了9%。同样，包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞，并且所有这些漏洞的百分比均有显著增加。

超过90％经审计的代码库含有许可证冲突、自定义许可证或就没有许可证的开源组件。2020年审计的代码库中，65%包含存在许可证冲突的开源组件，通常涉及“GNU通用公共许可证”。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险，常常要进行评估，尤其涉及到合并和收购交易的时候。

据王永雷介绍，目前新思科技提供了端到端的开源治理解决方案，首先是开源组件的识别功能，通过自动化的工具实现全场景扫描，识别和追踪应用程序及容器的开源组件，取代了以往手工填写所造成的不准确性。

其次，是保护功能模块，并不只是发现漏洞，而是给予修复建议，提供诸如哪个版本的组件更安全，或者更新后及时通知给客户。王永雷表示，新思的知识库（Knowledge Base）是每两周就更新一次，漏洞的发布频率是以小时来计的，可确保漏洞披露的及时性。

第三，是合规协助。针对开源的合规，比如GPL，描述文件就有几十页之多，一页页看下去会耽误大量时间，新思科技能够在一定程度上帮助用户进行解读，从而确保开源组件实现合规。

第四，是针对治理，王永雷提供了两种治理思路，一个是主动治理，另外则是被动治理。针对主动治理，相当于设计左移概念，也就是架构师从一开始就要考量安全漏洞问题，制定黑白名单。而被动治理则是要随时针对软件进行全生命周期监控。

“针对安全漏洞，一定要结合整个开发运维的过程将其集成起来，并且不是一蹴而就的，需要结合人、技术和流程的安全意识统一。”王永雷总结道。

本次收购强化了新思科技SiliconMAX 芯片生命周期管理平台，扩充了芯片在应用端和系统端的动态优化功能加利福尼亚州山景城2021年11月5日 /美通社/ -- 新思科技（Synopsys, Inc.，）宣布收购AI驱动的性能优化软件领先企业Concertio，将实时现场优化技术融入其芯片生命周期管理解决方案。此次收购是新思科技进一步强化其SiliconMAX™芯片生命周期管理（SLM）平台的重要战略布局。这项交易不会对新思科技的财务情况带来重大影响，因此未予披露。新思科技芯片实现事业部总经理Shankar Krishnamoorthy表示：“芯片生命周期管理对于先进电子系统的成功部署和运行逐渐重要“。此次收购C

中文版《SystemVerilog 验证方法学》由北京航空航天大学出版社发行美国加利福尼亚及中国北京，2007年5月14日 ——全球领先的电子设计自动化（EDA）软件工具领导厂商Synopsys今天宣布，由ARM 和 Synopsys 公司推出的SystemVerilog 验证方法学（VMM）被中国主要电子公司采用，用于开发先进验证环境。Synopsys 还宣布，《SystemVerilog 验证方法学》一书中文版已由中国航空航天大学出版发行。至今，本书的英文版已售出3,500多本。《SystemVerilog 验证方法学》由 ARM 和 Synopsys 公司的技术专家共同撰写，书中描绘了怎么样去使用 Syste

在这个数智创变时代，只有立足于创新，审微于未形，御变于将来，方能识局、破局、布局，最终向新而行，在新格局中取得胜局。上海 – 9月8日，芯片行业年度嘉年华“2022新思科技开发者大会”在上海成功举办。聚焦“向新力”这一主题，新思科技携手广大开发者、知名科幻作家、产业界、学术界和投资界的行业领袖，一同探讨在数智化与低碳化双轮驱动的新时代，芯片产业如何以创新力赢得竞争新格局，定义发展新范式，助力千行百业共同绘制“数智”经济蓝图。 2022新思科技开发者大会现场科技向新：在时代与发展中识局在开发者大会开幕致辞中，新思科技总裁兼首席运营官Sassine Ghazi分享了四项正驱动着世界向新的重要变革技术：推

携开发者共赴数智低碳新未来 /

我们正走向万物互联的时代，产业数字化转型是当下及未来的必经之路，这一切不能离开软件的驱动。有数字化，有软件，那信息安全问题也随之而来。企业在看到数字化转型带来红利的同时，安全风险不能忽视。可以说软件安全在很大程度上影响数字化转型的速度和质量，为产业数字化转型提供有力支撑。由于新技术不断涌现及其应用日趋成熟，软件开发模式发生改变，DevOps 快速兴起，并紧随安全“左移”被广泛认可，DevSecOps 慢慢的变成了很多企业数字化转型过程中应用安全的基础保障。这不仅有利于企业更快速、更安全地将产品上市，也加速了社会数字化的经济的发展。新思科技始终致力于帮企业更快速地构建安全、优质的软件，在推动DevSecOps落地方面有丰

：软件安全为产业数字化转型提供有力支撑 /

日前，才宣布14纳米制程进入客户芯片量产阶段的晶圆代工厂联电，14日再与新思科技 (Synopsys)共同宣布，双方将拓展合作伙伴关系，将Synopsys的Custom Compiler和Laker定制化设计工具，应用于联电的14纳米FinFET制程上，用以缩短定制化的设计工作。下面就随半导体设计制造小编共同来了解一下相关联的内容吧。联电表示，双方的此项合作，是为了建立和验证，用于联电14纳米制程的业界标准iPDK，并全面支持Custom Compiler，以提供视觉辅助方案于布局流程。就由此突破性的功能，可缩短客户于布局和连接FinFET元件所需的时程。另外，Custom Compiler的解决方案整合了Syno

验证套件有助于实现先进的技术节点器件参数测量全球领先的电子设计自动化（EDA）软件工具领导厂商Synopsys宣布，其Hercules 物理验证套件 (PVS) 已经实现了先进器件参数测量功能。该功能的开发可支持IBM 最新发布的65nm 设计工具包，从而帮助IBM晶圆代工客户应用Hercules工具包中的版图原理图一致性验证 (LVS) 规范文件，轻松而准确地将器件特性与IBM流程相关联。作为65nm设计工具包发布的一部分，最新的Hercules设计规则检查(DRC) 也可同时提供给IBM晶圆代工客户。这些文件有助于提升精度并优化性能。 IBM全球工程解决方案实施总监 Dave Harame 表示：“我们已支持 Syn

双方将响应行业需求共同培养掌握世界最先进处理器技术的人才中国武汉，2014年3月 — 为加速芯片和电子系统创新而提供软件、知识产权（IP）及服务的全球领先供应商新思科技公司（Synopsys, Inc.，纳斯达克股票市场代码：SNPS）日前宣布：Synopsys和华中科技大学达成合作协议，双方携手建立“华中科技大学---Synopsys ARC处理器联合培训中心”。该培训中心是Synopsys继与中国科学院、东南大学等多家高校合作的联合中心之后，在华中地区开设的又一间面向全球最新处理器技术的培训中心。Synopsys将与华中科技大学光学与电子信息学院一起，在课程设置与开发、定向培养、师资培训等方面展开合作，为学院的在校

携手建立ARC处理器联合培训中心 /

现在几乎所有的金融服务都是依靠软件运转的。但是金融服务行业在网络安全防护方面仍然需要更多投入，才能与时俱进。近年来，很多国家对移动金融应用客户端的安全合规监管日趋严格，中国也设立了金融APP备案制度，帮助解决移动金融信息安全问题。金融机构为了遵循合规要求和为用户更好的提供安全保障，加强软件安全势在必行。新思科技网络安全研究中心（CyRC）对金融服务行业当前的软件安全实践进行独立调查(SS-FSI)，调查报告发现金融服务机构已经意识到网络安全风险，他们都以为应该投入更多资源以解决这些风险。该报告的主要发现： Ÿ 大多数金融服务机构为软件研发人员提供安全开发培训。但只有19%表示培训需要强制参与 Ÿ 大多数机构采用第三方金

TI 有奖直播使用基于 Arm 的 AM6xA 处理器设计智能化楼宇

Follow me第二季第3期来啦！与得捷一起解锁高性能开发板【EK-RA6M5】超能力！

报名直播赢【双肩包、京东卡、水杯】高可靠性IGBT的新选择——安世半导体650V IGBT

30套RV1106 Linux开发板（带摄像头），邀您动手挑战边缘AI~

2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站，火热报名中

11 月 15 日消息，开源欧拉 openEuler 首个 AI 原生开源操作系统 openEuler 24 03 LTS 版本于今年 6 月 6 日正式对外发布 ...

引言：连接器在每个汽车上都有应用，该设备利用电、光等信号借助其控制相应的机械力连接、断开、转换，进而实现相应的电路或光通道转换的一 ...

本文中基于 QC T 29106-2014 标准，提出了新的耐久特性测试和触点压降测试方法，并针对这2种测试办法来进行试验验证。以下为正文。线束作 ...

金属氧化物及其与其它材料（如MXenes和金属硫族化合物）的复合材料，可通过它们暴露于目标气体或蒸汽中所产生的电阻或电压变化，来实现不 ...

蓄电池是汽车的电源之一，发电机停止工作和起动发动机时，电量全部从蓄电池输出；当发动机处于怠速或低速工作时，发电机的发电量不能满足需 ...