新思科技报告：构建全面的软件物料清单是保卫软件供应链安全的最佳防御

开源采用率显著提高，高风险漏洞增加速度惊人

软件供应链攻击频发给业界敲响警钟。Log4Shell与Spring4Shell是这两年影响广泛的安全漏洞。不法分子可以利用此类漏洞对供应链上游软件进行攻击，导致大量下游使用的软件受到影响。那么，该如何应对呢？保护软件供应链的第一步是管理应用中的开源代码和第三方代码。避免开源、专有和商业软件带来业务风险首先要对企业使用的所有软件进行全面的盘点，无论其来自何处或是如何获得的。拥有了这个完整的清单，安全团队才能规划出前进的道路，并制订计划来应对Log4Shell等新披露的安全漏洞带来的风险。

新思科技(Synopsys, Nasdaq: SNPS) 近日发布了《2023年开源安全和风险分析》报告(2023 OSSRA)。该报告是OSSRA的第八个版本，由新思科技网络安全研究中心 (CyRC) 编制，分析了1,700 多项并购交易中涉及的商业和专有代码库的审计结果。该报告揭示了 17 个行业的开源使用趋势。

2023 OSSRA报告深入探讨了商业软件中开源安全、合规、许可证和代码质量风险的现状，以帮助安全、法律、风险和开发团队更好地把握开源安全和许可风险形势。今年的调查结果显示，绝大多数代码库 (84%) 至少包含一个已知的开源漏洞，较2022年调查结果增加了近 4%。

企业想要降低来自开源、专有和商业代码的业务风险，首要就是构建其使用的所有软件的全面清单——软件物料清单 (SBOM)，无论这些软件是来自何处或如何获取。企业只有拥有了完整的清单，才能制定战略以应对Log4Shell 等新的安全漏洞带来的风险。

新思科技软件质量与安全部门总经理 Jason Schmitt 表示：“2023 OSSRA 报告强调了开源是当今绝大部分软件构建的基础。在今年的审计中，开源组件的平均数量增加了 13%（从 528 增加到 595）。这个数据进一步凸显了实施全面的 SBOM 的重要性。SBOM列出了应用中的所有开源组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来理解和降低业务风险的基本策略。”

2023 OSSRA 报告的主要发现包括：

 根据过去五年OSSRA报告的数据，开源采用率显著提高：这几年，教学更多地转向线上，师生在线互动增多，进而推动了教育软件的应用，开源组件的采用也大幅提升，增长了 163%；其它行业包括航空航天、汽车、运输和物流行业，开源的采用率激增了97%；制造业和机器人领域对开源的采用率增长了 74%。

 过去五年，高风险漏洞增加速度惊人：自 2019 年以来，零售和电子商务行业的高风险漏洞激增了557%；物联网 (IoT) 领域，89%被审计的代码是开源，同时，高风险漏洞增加了 130%；同样，航空航天、汽车、运输和物流垂直领域的高风险漏洞增加了 232%。

 与使用许可组件的企业相比，使用没有许可的开源组件会使企业面临更大的违反版权法的风险：报告发现，31% 的代码库使用没有可识别许可证或具有定制许可证的开源代码。这比去年的 OSSRA 报告增加了 55%；缺少与开源代码相关的许可证或其它开源许可证，可能会对被许可方提出非预期的要求，因此经常需要对潜在知识产权问题或其它影响进行法律评估。

 可用的代码质量和安全补丁还未普遍应用于代码库：在经审计的1,480 个含风险评估的代码库中，91% 的代码库包含过时的开源组件。除非企业能够持续使用最新且准确的 SBOM，否则过时的组件可能会被遗忘，直到演变成为易受到高风险攻击的组件。

新思科技软件质量与安全部门安全解决方案高级经理 Mike McGuire 表示：“管理开源风险的关键是保持应用内容的完整可见性。基于可见性，将风险管理构建到应用生命周期中。企业可以凭借必需的信息武装自己，以便采取明智、及时的风险解决方案。企业在采用任何类型的第三方软件时都应该正确地假设它包含了开源。而验证这一点并控制相关风险就像获得 SBOM 一样简单——供应商可以轻松提供并采取必要步骤来保护其软件供应链。”