首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 技術(shù) >> 正文

新思科技最新報(bào)告顯示開源安全是首要考慮因素

2020年12月10日 15:54  CCTIME飛象網(wǎng)  

《2020年DevSecOps實(shí)踐和開源管理報(bào)告》發(fā)布

40%受訪者表示為解決開源漏洞而拖慢了交付計(jì)劃

飛象網(wǎng)訊 DevSecOps是在業(yè)界逐步普及的理念。從云計(jì)算到云原生,再到DevOps,每一次理念的轉(zhuǎn)變都可能意味著開發(fā)流程的迭代。而安全是重要的基石,無論如何變革,都不容忽視。在不影響安全的情況下保持速度,將安全功能融入各個(gè)階段。這種功能就是 DevSecOps。

新思科技(Synopsys, Inc.,Nasdaq: SNPS)宣布發(fā)布《2020年DevSecOps實(shí)踐和開源管理報(bào)告》。該報(bào)告由新思科技網(wǎng)絡(luò)安全研究中心(CyRC)總結(jié)制作,采訪了1,500名從事網(wǎng)絡(luò)安全、軟件開發(fā)、軟件工程和Web開發(fā)的IT專業(yè)人員。該報(bào)告探討了全球企業(yè)用于解決開源漏洞管理的策略以及日益嚴(yán)重的商業(yè)代碼中過時(shí)或棄用的開源組件問題。

開源在當(dāng)今的軟件生態(tài)系統(tǒng)中扮演著至關(guān)重要的角色。絕大多數(shù)現(xiàn)代代碼庫都包含開源組件,開源通常占整個(gè)代碼的70%或更多。然而,開源使用增長的同時(shí),不受管理的開源帶來的安全風(fēng)險(xiǎn)日益嚴(yán)重。實(shí)際上,《2020年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)指出經(jīng)過新思科技審計(jì)的代碼庫中,75%包含具有已知安全漏洞的開源組件。為了應(yīng)對這種情況,受訪者在審查新的開源代碼組件時(shí)將識(shí)別已知的安全漏洞作為首要標(biāo)準(zhǔn)。

新思科技網(wǎng)絡(luò)安全研究中心首席安全策略師Tim Mackey表示:“很明顯,未修補(bǔ)的漏洞是造成開發(fā)人員困擾以及最終導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的主要原因!2020年DevSecOps實(shí)踐和開源管理報(bào)告》強(qiáng)調(diào)了企業(yè)如何竭力有效地追蹤和管理其開源風(fēng)險(xiǎn)。”

Tim Mackey接著說:“超過一半(51%)的受訪者表示他們需要兩至三周的時(shí)間來應(yīng)用開源補(bǔ)丁,這可能與以下的情況有關(guān)系,僅僅38%的受訪者使用自動(dòng)的軟件組件分析(SCA)工具來確定使用了哪些開源組件以及何時(shí)發(fā)布更新。其余的組織可能采用手動(dòng)的操作流程來管理開源,這些可能會(huì)拖慢開發(fā)和運(yùn)營團(tuán)隊(duì)的速度,迫使他們在平均每天發(fā)布數(shù)十個(gè)新的安全披露的環(huán)境下來追趕安全!

《2020年DevSecOps實(shí)踐和開源管理報(bào)告》中值得注意的其他要點(diǎn)包括:

DevSecOps在全球范圍內(nèi)迅速增長。總計(jì)63%的受訪者表示他們正在將一些DevSecOps活動(dòng)融入其軟件開發(fā)計(jì)劃中。

應(yīng)用程序安全測試(AST)工具沒有被普遍采用。從受訪者對調(diào)查問卷的回答可以看出,其實(shí)并不缺乏應(yīng)用程序安全測試的工具和技術(shù)。然而,即使使用率很高的AST工具也只有不到一半的受訪者在使用。

媒體在開源風(fēng)險(xiǎn)管理中發(fā)揮著重要的作用。46%的受訪者指出,媒體報(bào)道促使他們對開源使用情況實(shí)行更加嚴(yán)格的管控。

47%的受訪者根據(jù)他們所使用的開源組件的時(shí)間來定義標(biāo)準(zhǔn)。開源社區(qū)中一個(gè)日益嚴(yán)重的問題是項(xiàng)目的可持續(xù)性。新思科技2020 OSSRA報(bào)告顯示,在2019年被審計(jì)的代碼庫中,91%的代碼庫包含的組件已經(jīng)過期四年以上或過去兩年中沒有開發(fā)活動(dòng)。部署過期的代碼會(huì)增加安全風(fēng)險(xiǎn),包括開源組件被劫持的風(fēng)險(xiǎn)。如2018年發(fā)生的一個(gè)事件:event-stream組件被注入惡意代碼,目的是竊取Copay錢包中的比特幣。

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國5G商用四周年
2023年中國國際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號 京公網(wǎng)安備110105000771號
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像