2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告 -您的開(kāi)源供應(yīng)鏈安全指南

SSYIOpsYS2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告您的開(kāi)源供應(yīng)鏈安全指南3|綜述3|關(guān)于OSSRA20244|概述6|開(kāi)源漏洞與安全性8|10大漏洞中有8個(gè)可以追溯到同一個(gè)CWE9|為何某些BDSA沒(méi)有CVE10|按行業(yè)劃分的漏洞情況11|開(kāi)源許可12|了解許可證風(fēng)險(xiǎn)14|防范AI編碼工具帶來(lái)的安全和知識(shí)產(chǎn)權(quán)合規(guī)風(fēng)險(xiǎn)15|影響開(kāi)源風(fēng)險(xiǎn)的運(yùn)營(yíng)因素15|開(kāi)源使用者需要改進(jìn)維護(hù)實(shí)踐16|研究結(jié)果與建議17|創(chuàng)建安全的軟件開(kāi)發(fā)框架17|了解代碼的構(gòu)成18|術(shù)語(yǔ)18|貢獻(xiàn)者|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|2本報(bào)告提供了一些建議，旨在幫助開(kāi)源軟件創(chuàng)建者和使用者負(fù)責(zé)任地管理軟件，特別是在保障軟件供應(yīng)鏈安全的背景下。無(wú)論您是軟?對(duì)開(kāi)源安全的持續(xù)關(guān)注?為何說(shuō)開(kāi)發(fā)者需要改進(jìn)以保持開(kāi)源組件的持續(xù)更新?軟件供應(yīng)鏈管理需要軟件物料清單(SBOM)?如何防范AI編碼工具帶來(lái)的安全和知識(shí)產(chǎn)權(quán)合規(guī)風(fēng)險(xiǎn)候都更加重要。如今，隨著開(kāi)源的廣泛使用以及AI生成代碼的日鏈的安全首先要知道代碼中包含哪些開(kāi)源組件，并識(shí)別它們各自的許可證、代碼質(zhì)量和潛在漏洞。歡迎閱讀2024年第9版開(kāi)源安全和風(fēng)險(xiǎn)分析(OSSRA)報(bào)告。今年的OSSRA提供了新思網(wǎng)絡(luò)安全研究中心（CyRC）對(duì)商業(yè)軟件中的開(kāi)源團(tuán)隊(duì)更好地了解安全和許可證風(fēng)險(xiǎn)狀況。本報(bào)告使用的數(shù)據(jù)來(lái)自新思科技BlackDuck?審計(jì)服務(wù)團(tuán)隊(duì)在2023年間對(duì)來(lái)自17個(gè)行業(yè)的1,067個(gè)商業(yè)代碼庫(kù)的匿名調(diào)查結(jié)果。20多年來(lái)，審計(jì)服務(wù)團(tuán)隊(duì)一直在幫助世界各地的安全、開(kāi)發(fā)和法務(wù)團(tuán)隊(duì)加強(qiáng)其項(xiàng)目的安全性和許可證合規(guī)。審計(jì)服務(wù)團(tuán)隊(duì)每年為客戶審計(jì)數(shù)千個(gè)代碼庫(kù)，主要目的是識(shí)別并購(gòu)(M&A)交易中一系列的軟件風(fēng)險(xiǎn)。計(jì)服務(wù)團(tuán)隊(duì)依靠BlackDuckKnowledgeBase?知識(shí)庫(kù)的數(shù)據(jù)識(shí)別潛在許可證合規(guī)與安全風(fēng)險(xiǎn)。該知識(shí)庫(kù)由CyRC創(chuàng)建、管理并積累多年，存儲(chǔ)了來(lái)自3.1萬(wàn)+開(kāi)源代碼倉(cāng)庫(kù)的780萬(wàn)+開(kāi)源組件。本OSSRA報(bào)告強(qiáng)調(diào)了開(kāi)源代碼在軟件領(lǐng)域的廣泛使用，以及管理不善可能帶來(lái)的風(fēng)險(xiǎn)。開(kāi)源代碼是當(dāng)今各種企業(yè)和個(gè)人應(yīng)用程序的|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|32.8年24月12月2.8年24月12月=10個(gè)數(shù)據(jù)庫(kù)2023年審查了1,067個(gè)代碼庫(kù)936個(gè)代碼庫(kù)經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，84%包含漏洞經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，74%包含高風(fēng)險(xiǎn)漏洞96%的被審代碼庫(kù)中包含開(kāi)源代碼77%的開(kāi)源代碼存在于被審的代碼庫(kù)中53%的被審代碼庫(kù)中存在許可證沖突31%的被審代碼庫(kù)中包含沒(méi)有許可證或使用定制許可證的開(kāi)源代碼1010年經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，14%包含10年以上的漏洞經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代齡為2.8年經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)未更新的組件經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)未被更新/修補(bǔ)的組件經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，91%包含了比最新版本落后10個(gè)以上版本的組件|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|4100%100%電信和無(wú)線包含開(kāi)源代碼的代碼庫(kù)百分比代碼庫(kù)中開(kāi)源代碼的百分比物流計(jì)算機(jī)硬件和半導(dǎo)體互聯(lián)網(wǎng)和移動(dòng)應(yīng)用互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu)物聯(lián)網(wǎng)營(yíng)銷(xiāo)科技零售和電子商務(wù)100%100%100%100%100%100%100%100%企業(yè)軟件/SaaS金融服務(wù)和金融科技媒體網(wǎng)絡(luò)安全教育科技能源與清潔科技技和生命科學(xué)|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|5關(guān)于本次審計(jì)的說(shuō)明關(guān)于本次審計(jì)的說(shuō)明所有的BlackDuck審計(jì)都會(huì)檢查開(kāi)源許可證的合規(guī)性，但客戶可以自行決定放棄該審計(jì)的漏洞/運(yùn)營(yíng)風(fēng)險(xiǎn)評(píng)估部分。2023年，BlackDuck審計(jì)服務(wù)團(tuán)隊(duì)共進(jìn)行了1,067次審計(jì)。在這些審計(jì)中，88%的客戶（936家）接受了安全和運(yùn)營(yíng)風(fēng)險(xiǎn)評(píng)估。在2024年源許可”部分的數(shù)據(jù)則基于全部的1,067個(gè)代碼庫(kù)。在BlackDuck審計(jì)服務(wù)團(tuán)隊(duì)為今年的OSSRA報(bào)告分析的1,067個(gè)代碼庫(kù)中，有96%包含開(kāi)源代碼。所有被審查的源代碼和文件中，有77%來(lái)自開(kāi)源代碼。今年，給定應(yīng)用中的開(kāi)源組件的平均數(shù)量為526個(gè)—證明自動(dòng)安全測(cè)試非常重要甚至絕對(duì)必要的實(shí)際證據(jù)。如果只有區(qū)區(qū)幾個(gè)組件，交付進(jìn)度或生產(chǎn)力。在包含風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，84%包含至少一個(gè)已知開(kāi)源漏洞。這些代碼庫(kù)有74%包含高風(fēng)險(xiǎn)漏洞，與2022年相比有顯著增長(zhǎng)，2022漏洞。84%的代碼庫(kù)包含至少一個(gè)開(kāi)源漏洞74%(2023)48%(2022)包含高風(fēng)險(xiǎn)漏洞的代碼庫(kù)數(shù)量比去年增加了54%2022至2023年間，高風(fēng)險(xiǎn)漏洞增加了54%（26個(gè)百分點(diǎn)造成這種情況的原因可能不止一個(gè)。例如，有可能是經(jīng)濟(jì)衰退和隨之而來(lái)的裁員導(dǎo)致用于尋找和修補(bǔ)漏洞的人員數(shù)量減少。此外，審查發(fā)現(xiàn)，91%的代碼庫(kù)包含了比最新版本落后10個(gè)或更多版本的組件，由此可以得出一個(gè)簡(jiǎn)單的結(jié)論：絕大多數(shù)開(kāi)源軟件使用者并沒(méi)有更新他們使用的組件。49%的代碼庫(kù)中包含過(guò)去24個(gè)月內(nèi)未進(jìn)行任何更新的組件，1%的代碼庫(kù)中包含至少12個(gè)月未被代碼維護(hù)人員更新/修補(bǔ)的組件。包括審查拉取請(qǐng)求和其他提交、發(fā)布新版本的軟件、分類(lèi)和處理安全修復(fù)以及社區(qū)管理和協(xié)調(diào)。大多數(shù)維護(hù)者都會(huì)努力使其參與的開(kāi)源項(xiàng)目保持最新?tīng)顟B(tài)。實(shí)際上，許多公司還專(zhuān)門(mén)雇人來(lái)維護(hù)公司軟件所依賴(lài)的開(kāi)源項(xiàng)目。開(kāi)源使用者也需要具備同樣的勤奮精神。他們需要時(shí)刻關(guān)注使用的版本，定期進(jìn)行更新，并在使用|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|6有健康的維護(hù)者和貢獻(xiàn)者生態(tài)系統(tǒng)的項(xiàng)目下載。Advisories(BDSA)是新思科技的專(zhuān)有報(bào)告，旨在為客戶提供比國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)CVE通知更高水平、更及時(shí)、更詳細(xì)的信息。BDSA針對(duì)影響客戶SBOM中項(xiàng)目的漏洞提供可操作的建議和細(xì)節(jié)，以幫助確保他們?nèi)媪私忾_(kāi)源代碼漏洞可能帶來(lái)的風(fēng)險(xiǎn)。全需求。不能正確地凈化輸入可能會(huì)帶來(lái)跨站腳本(XSS)和SQL注入等漏洞利用攻擊。XSS是一種常見(jiàn)且危險(xiǎn)的漏洞利用，Top10的漏洞中，有8個(gè)都可以映射到CW入等攻擊。強(qiáng)調(diào)的大多數(shù)Top10漏洞有關(guān)。當(dāng)攻擊者利用網(wǎng)站中的漏洞發(fā)送通常使用JavaScript編寫(xiě)的惡意的畸形代碼時(shí)，就會(huì)出現(xiàn)跨站腳本攻擊。由于該輸入沒(méi)有正確凈化或XSS不僅是十大漏洞之一，也是OWASPTop10列表中的一個(gè)漏洞—該列表列出了10種最嚴(yán)重的Web應(yīng)用軟件，后果可能很?chē)?yán)重。例如，在審計(jì)發(fā)現(xiàn)的十大漏洞中，排名第二的BDSA-2020-0686(CVE-2020-11022)是影響從jQuery1.2到3.5.0之間所有版本的XSS漏洞。該漏洞允許將不可信來(lái)源的HTML傳遞給jQuery的一種DOM操作方法—即使經(jīng)過(guò)了清理也不例外—并且可能執(zhí)行不可信的代碼。器中的各種語(yǔ)言解釋器（如HTML或JavaScript）發(fā)動(dòng)代碼注入攻擊。在審計(jì)中現(xiàn)的10大開(kāi)源組件中，全部都是使用JavaScript編寫(xiě)的。審計(jì)中發(fā)現(xiàn)的大部分漏洞也與JavaScript庫(kù)相關(guān)，尤其是過(guò)時(shí)版本的jQueryJavaScript庫(kù)中的漏洞。?考慮訂閱安全咨詢(xún)服務(wù)，如BlackDuckSecurityAdvisories，以獲取最新的漏洞信息。jQuery時(shí)不時(shí)就會(huì)出現(xiàn)新的安全漏洞。?使用安全的編碼框架來(lái)幫助您識(shí)別并避免代碼中的潛在安全漏洞。往往也會(huì)隨之而來(lái)。審計(jì)結(jié)果顯示，jQuery是最有可能存在漏洞的組件，盡管本報(bào)告中列出的每個(gè)jQuery漏洞都已經(jīng)有了可用的補(bǔ)丁。對(duì)于jquery用戶（實(shí)際上是所有開(kāi)源軟件的用戶）來(lái)說(shuō)，意識(shí)到舊版本軟件可能帶來(lái)的潛在安全風(fēng)險(xiǎn)并采取措施減輕這些風(fēng)險(xiǎn)是非常重要的。?創(chuàng)建并維護(hù)軟件物料清單(SBOM）。在防范軟件評(píng)估風(fēng)險(xiǎn)以及確保代碼質(zhì)量、合規(guī)性和安全至關(guān)重要。全面的SBOM列出了您的應(yīng)用中包含的所有開(kāi)源組件，以及這些組件的許對(duì)影響SBOM中開(kāi)源組件的問(wèn)題獲得實(shí)用性的建議和詳細(xì)信息。碼進(jìn)行靜態(tài)分析，以發(fā)現(xiàn)未知的安全缺陷。?使用自動(dòng)化的軟件組成分析(SCA)工具。SCA工具可以自動(dòng)執(zhí)行軟件安全問(wèn)題的識(shí)別、管理和緩解任務(wù)，使開(kāi)發(fā)者能夠?qū)Ｗ⒂诰帉?xiě)代碼。此類(lèi)工具可以評(píng)估開(kāi)源和第三方代碼。|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|729%33%3%29%33%3%39%BDSA-214-0063AffectedcomponentgjQBDSA-214-0063AffectedcomponentgjQueryAssociatedCWE2CWE-79pillarCWECWE-77AssociatedCWEgCWE-54628%BDSA-22-686(CVE-22-1122)Affectedcomponent8jQueryAssociatedBDSA-22-686(CVE-22-1122)Affectedcomponent8jQueryAssociatedCWEgCWE-7◎7AssociatedCWE2CWE-937pillarCWECWE-7733%BDSA-22-964(CVE-22-1123)Affectedcomponent8jQueryAssociatedCWE2CWE-8pillarCWECWE-77BDSA-219-423(CWE-219-8331)Affectedcomponent:BootstrapAssociatedCWE2CWE-97pillarCWECWE-7732%BDSA-22-1173(CVE-22-7656)Affectedcomponent8jQueryBDSA-219-1138BDSA-22-1173(CVE-22-7656)Affectedcomponent8jQueryAssociatedCWE2CWE-2pillarCWECWE-77BDSA-217-293(CVE-215-9251)AffectedcomponentsjQueryBDSA-2◎22-1987(CVE-222-3116)BDSA-217-293(CVE-215-9251)AffectedcomponentsjQueryAssociatedCWE2CWE-79pillarCWECWE-77|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|8段時(shí)間，一些研究報(bào)告稱(chēng)，從漏洞首次披露到在NVD上發(fā)布的平均時(shí)間間隔長(zhǎng)達(dá)一個(gè)月之久。作用。這通常是因?yàn)槿狈ρ芯看祟?lèi)條目的資源造成的。顯然，僅僅依靠NVD來(lái)獲取漏洞信息是不明智的。許多商業(yè)SCA解決方案不僅可以提供比NVD更豐富的漏洞數(shù)據(jù)，而且還可以更準(zhǔn)確地發(fā)現(xiàn)問(wèn)題，并在必要時(shí)幫助您更快地修復(fù)它們。例如，如果您正在使用新思科技的SCA解決方案BlackDuck，則可以利用新思科技還提供更完整的漏洞數(shù)據(jù)，提供超越當(dāng)今任何其他商用產(chǎn)品的安全洞察、技術(shù)細(xì)節(jié)和升級(jí)/補(bǔ)丁指導(dǎo)。例如，對(duì)于我們?cè)?023年Top10漏洞列表中列出的漏洞，有三個(gè)BDSA在NVD中找不到對(duì)應(yīng)的CVE。BDSABDSA-2021-3651根據(jù)BDSA，某些版本的jQuery中包含對(duì)被劫持域名的注釋引用。這是一個(gè)安全問(wèn)題，最穩(wěn)妥的解決方法就是刪除被劫持域名的鏈接，正如第3.6.1版jQuery所做的那樣，因?yàn)槿绻脩舨恢烙蛎臓顟B(tài)，他們?nèi)匀豢赡茉趪L試訪問(wèn)被劫持的網(wǎng)站時(shí)遭受未知攻擊。雖然這些網(wǎng)站不能通過(guò)運(yùn)行代碼來(lái)訪問(wèn)，但標(biāo)記這個(gè)問(wèn)題還是有價(jià)值的，因?yàn)殚_(kāi)發(fā)者或任何擁有訪問(wèn)權(quán)限的人都有可能不小心點(diǎn)開(kāi)惡意網(wǎng)站。供應(yīng)商拒絕了CVE或?qū)Πl(fā)現(xiàn)的漏洞提出了質(zhì)疑，認(rèn)為這是組件的預(yù)期/設(shè)計(jì)行為時(shí)，可以使用這種標(biāo)簽。CWE-546:可疑的注釋CVSSv3.1評(píng)分5.10BDSABDSA-2014-0063這是一個(gè)較早的漏洞，最初在2014年1月被提出，與jQuery中因?yàn)槿狈τ脩籼峁┑妮斎腧?yàn)證而導(dǎo)致的潛在XSS漏洞有關(guān)。該漏洞可能允許攻擊者注入任意的web腳本并竊取受害者的會(huì)話cookies。根據(jù)BDSA，函數(shù)會(huì)將HTML字符串解析為DOM節(jié)點(diǎn)的數(shù)組。傳遞給該函數(shù)的事件屬性中所包含的任何腳本都會(huì)立即執(zhí)行。如果函數(shù)調(diào)用者在將不可信的輸入傳遞給函數(shù)之前沒(méi)有正確地清理它，則可能導(dǎo)致XSS攻擊的風(fēng)險(xiǎn)。攻擊者可以利用這一點(diǎn)，制統(tǒng)上執(zhí)行。該漏洞在jQuery3.0.0-rc1中得到了緩解。但這種緩解并沒(méi)有清理惡意的輸入，仍允許腳本執(zhí)行。它只是修改了解析器的默認(rèn)直到其被注入到文檔中，從而給jQuery開(kāi)發(fā)者提供了機(jī)會(huì)，使他們可以在函數(shù)調(diào)用后使用工安全的內(nèi)容。CAPEC-588:基于DOM的XXSSCVSSv3.1評(píng)分8.60BDSABDSA-2015-0567這也是一個(gè)較早的漏洞，與容易受到任意代碼執(zhí)行攻擊的jQuery有關(guān)—jQuery版本使用了未修補(bǔ)的UglifyJS解析器，容易受到惡意JavaScript文件發(fā)起的任意代碼執(zhí)行的攻擊。最終，這可能允許攻擊者運(yùn)行惡意代碼。該漏洞已在1.12.0和2.2.0.版本中修復(fù)。CWECategoryA9:使用包含已知漏洞的組件CAPEC-251:本地代碼包含（LocalCodeInclusion）。TheCommonAttackPatternEnumerationandClassi?cation[CAPEC]是公開(kāi)的攻擊模式目錄，提供了全面的模式架構(gòu)和分類(lèi)體系。CVSSv3.1評(píng)分7.9|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|9按行業(yè)劃分的漏洞情況計(jì)算機(jī)硬件和半導(dǎo)體88%零售和電子商務(wù)84%營(yíng)銷(xiāo)科技81%企業(yè)軟件/SaaS80%教育科技75%能源與清潔科技75%金融服務(wù)和金融科技73%互聯(lián)網(wǎng)和移動(dòng)應(yīng)用72%互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu)67%物聯(lián)網(wǎng)50%|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|10有效的軟件供應(yīng)鏈管理需要同時(shí)考慮許可證和安全合規(guī)性。您使用開(kāi)源組件和庫(kù)來(lái)構(gòu)建軟件，并且知道這些組件受到開(kāi)源許可證的識(shí)產(chǎn)權(quán)，花費(fèi)大量時(shí)間進(jìn)行補(bǔ)救并推遲產(chǎn)品的上市時(shí)間。BlackDuck審計(jì)服務(wù)團(tuán)隊(duì)發(fā)現(xiàn)，在2023年審計(jì)的代碼庫(kù)中，超過(guò)一半(53%)包含存在許可證沖突的開(kāi)源軟件。ISCLicenseMITLicenseISCLicenseCreativeCommonsZerov1.0UniversalApacheLicense2.0CreativeCommonsZerov1.0UniversalGNULesserGeneralPublicLicensev2.1orLaterBSD3-Clause“New”or“Revised”GNULesserGeneralPublicLicensev2.1orLaterMozillaPublicLicense2.0BSD2-Clause“Simpli?ed”LicenseMozillaPublicLicense2.0TheUnlicensePublicDomain*TheUnlicense*組件附帶的聲明表明它屬于公共領(lǐng)域，但沒(méi)有使用特定的公共領(lǐng)域許可證，比如Unlicense或CreativeCommons|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|11在BlackDuck審計(jì)服務(wù)團(tuán)隊(duì)于2023年審計(jì)的開(kāi)源軟件中，有92%使用了MIT許可證。作為允許在專(zhuān)有軟件中重用的寬松許可證，MIT許可證具有與其他軟件許可證高兼容和低風(fēng)險(xiǎn)的特點(diǎn)?？梢钥隙ǖ氖?，如果您在軟件中引入第三方組件，則很可能會(huì)涉及一些常用的為使用了低風(fēng)險(xiǎn)的許可證，可以引入到使用GNUGeneralPublicLicense3.0(GPLv3)的項(xiàng)目中，但GPLv3軟件卻不能在Apache項(xiàng)目中使用。這是因?yàn)锳pache軟件基金會(huì)的許可證理念與GPLv3作者對(duì)版權(quán)法的解釋導(dǎo)致了許可證之間的不兼容。對(duì)于開(kāi)發(fā)者來(lái)說(shuō)，最穩(wěn)妥的做法是咨詢(xún)本公司的企業(yè)政策和法務(wù)團(tuán)隊(duì)，以獲得有關(guān)許可證合規(guī)問(wèn)題的具體指導(dǎo)。在2023年的審計(jì)中，CreativeCommons是引發(fā)許可證沖突的最主要的原因。僅CreativeCommonsShareAlike3.0(CC-SA3.0)就引發(fā)了17%的許可證沖突。BlackDuck審計(jì)中頻繁發(fā)現(xiàn)“代碼片段”—復(fù)制粘貼到源代碼中的代碼行。它們通常來(lái)自頗受歡迎的博客網(wǎng)站StackOver?ow，該網(wǎng)站根據(jù)CreativeCommonsShareAlike許可證自動(dòng)授權(quán)所有可公開(kāi)訪問(wèn)的用戶貢獻(xiàn)。遺憾的是，這個(gè)一攬子許可證也涵蓋了網(wǎng)站上發(fā)表示：“我們不建議對(duì)軟件使用CreativeCommons許可證?！蹦承┣闆r下，CC-SA許可證可以被理解為具有類(lèi)似于GNUPublicLicense的“病毒”效應(yīng)（即，任何源自Copyleft許可作品的作品也必須適用相同的Copyleft條款這可能會(huì)引起法律方面的擔(dān)憂。即使最友好的開(kāi)源許可證也會(huì)規(guī)定用戶在使用軟件時(shí)需要承擔(dān)的義務(wù)。如果代碼庫(kù)中包含的開(kāi)源代碼許可證與該代碼庫(kù)的總體許可證存在沖突，就可能存在潛在的許可證風(fēng)險(xiǎn)。GNU通用公共許可證(GPL)是應(yīng)用于開(kāi)源項(xiàng)目的最常見(jiàn)Copyleft許可證。如果商用閉源軟件中包含由GPL許可的代碼，就會(huì)產(chǎn)生沖突。標(biāo)準(zhǔn)開(kāi)源許可證的變體或定制許可證可能會(huì)對(duì)被許可方提出不必要的要求，并且要求對(duì)可能的知識(shí)產(chǎn)權(quán)問(wèn)題和其他問(wèn)題進(jìn)行法律評(píng)在2023年審計(jì)的代碼庫(kù)中，1/3的代碼庫(kù)使用了沒(méi)有可識(shí)別許可證或具有定制許可證的代碼，與去年的審計(jì)結(jié)果基本相同。在開(kāi)源審計(jì)中，經(jīng)常會(huì)在一些不像StackOver?ow那樣有明確服務(wù)條款或軟件條款的網(wǎng)站中發(fā)現(xiàn)代碼片段。導(dǎo)致開(kāi)源代碼缺乏許可證條款的另一個(gè)常見(jiàn)原因是開(kāi)發(fā)者使用了代碼片段，但卻沒(méi)有將該片段的相關(guān)許可證一起帶過(guò)來(lái)。另外，隨著AI輔助編碼工具的使用越來(lái)越普CreativeCommonsAttributionShareAlike3.0CreativeCommonsAttributionShareAlike4.0GNULesserGeneralPublicLicensev2.1orLaterGNUGeneralPublicLicensev2.0orLaterApacheLicense2.0GNUGeneralPublicLicensev3.0orLaterCreativeCommonsAttribution3.0GNULibraryGeneralPublicLicensev2orLaterD6%GNULesserGeneralPublicLicensev3.0orLaterMozillaPublicLicense2.0|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|12?許多沖突較多的行業(yè)都傾向于將其軟件作為本地產(chǎn)品進(jìn)行許可和分發(fā)。許多限制性的許可證只適用于這種方式分發(fā)的軟件。而沖突較少的其他行業(yè)則更多地采用基于訂閱或SaaS類(lèi)型的部署方式，這些部署通常不被視為“分發(fā)”，也不受同樣的許可條款的限制。?半導(dǎo)體和硬件公司嚴(yán)重依賴(lài)軟件和固件，其中大部分都包含開(kāi)源代碼（見(jiàn)圖1）。復(fù)雜的片?開(kāi)源在底層系統(tǒng)軟件、固件和驅(qū)動(dòng)程序等方面非常普遍，這些都是硬件產(chǎn)品不可或缺的一部分。這些軟件很多都是基于GPL類(lèi)型的Copyleft許可證，分發(fā)時(shí)需滿足程度極高的共享要求。?軟件供應(yīng)鏈在公司之間以及硬件設(shè)計(jì)者和制造商之間共享固件、驅(qū)動(dòng)程序和工具，從而導(dǎo)致開(kāi)源傳播，但沒(méi)有通過(guò)SBOM清單跟蹤其來(lái)源或許可證。計(jì)算機(jī)硬件和半導(dǎo)體92%物聯(lián)網(wǎng)60%企業(yè)軟件/SaaS54%能源與清潔科技53%互聯(lián)網(wǎng)和軟件基礎(chǔ)架構(gòu)50%零售和電子商務(wù)50%教育科技45%金融服務(wù)和金融科技42%互聯(lián)網(wǎng)和移動(dòng)應(yīng)用41%營(yíng)銷(xiāo)科技19%|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|13OpenAI的集體訴訟聲稱(chēng)，GitHubCopilot?一種基于云的AI工具，為開(kāi)發(fā)者在編碼時(shí)提供自動(dòng)完成式的推薦?違反了版權(quán)法和Copilot案例凸顯出使用AI生成代碼的法律復(fù)雜性。對(duì)軟件開(kāi)發(fā)者來(lái)說(shuō)，在法律或政府做出解決這一問(wèn)題的決策之前，避免使用AI輔助編碼工具顯然是避免因許可證或版權(quán)侵權(quán)而被起訴的最安全方法。否包含受開(kāi)源許可證約束的源代碼，如果是，是否可以將這些代碼標(biāo)出或從推薦中排除。另一種解決辦法是使用新思科技BlackDuck等現(xiàn)成的代碼掃描工具，利用代碼片段分析功能來(lái)掃描源代碼，并將每一行代碼與它們可能來(lái)自的任何開(kāi)源項(xiàng)目進(jìn)行匹配。使得開(kāi)發(fā)團(tuán)隊(duì)可以識(shí)別AI代碼助手引入的開(kāi)源代碼所適用的許可證和相關(guān)條款。?對(duì)軟件中的所有第三方軟件組件進(jìn)行全面清點(diǎn)，包括開(kāi)源和商業(yè)軟件。?注意AI輔助編碼工具可能會(huì)產(chǎn)生違反許可證條款和侵犯知識(shí)產(chǎn)權(quán)的代碼。?評(píng)估每個(gè)組件的許可條款和條件，并評(píng)估它們是否符合產(chǎn)品的預(yù)期用途。?檢查不同組件之間的許可證兼容性，因?yàn)橛行┰S可證彼此可能不兼容。?使用自動(dòng)掃描工具來(lái)識(shí)別和跟蹤每個(gè)組件的許可義務(wù)和限制。?實(shí)施一個(gè)流程，以確保許可證始終合規(guī)，包括定期許可證掃描和許可證合規(guī)程序的周期性審查。?針對(duì)新的或不熟悉的許可證建立審查流程和工作流。?確保法務(wù)、技術(shù)和業(yè)務(wù)的相關(guān)人員之間能夠有效溝通，以便合理地安排和執(zhí)行許可證清理工作|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|14理想情況下，開(kāi)源軟件的使用者應(yīng)該只使用那些有著強(qiáng)大社區(qū)支持的組件。例如，每天都有來(lái)自數(shù)百個(gè)組織的成千上萬(wàn)名開(kāi)發(fā)者改進(jìn)Linux。然而，在BlackDuck審計(jì)服務(wù)團(tuán)隊(duì)對(duì)經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的936個(gè)代碼庫(kù)進(jìn)行審查時(shí)，發(fā)現(xiàn)有49%的代碼庫(kù)中包含了兩年內(nèi)未進(jìn)行任這在開(kāi)源項(xiàng)目中并不少見(jiàn)。一些報(bào)告顯示，在2022年還在維護(hù)的Java和JavaScript開(kāi)源項(xiàng)目中，有近20%在2023年不再有人維護(hù)，使得這些項(xiàng)目面臨著漏洞利用和攻擊的風(fēng)險(xiǎn)。開(kāi)源軟件很大程度上是志愿貢獻(xiàn)者和維護(hù)者的產(chǎn)物。雖然有些組織（如Microsoft、RedHat和Google）制定了一些激勵(lì)計(jì)劃來(lái)促進(jìn)開(kāi)源項(xiàng)目的維護(hù)和參與，但絕大多數(shù)公司并沒(méi)有這樣做。當(dāng)維護(hù)者停止維會(huì)導(dǎo)致安全風(fēng)險(xiǎn)升高。在2023年分析的代碼庫(kù)在經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的代碼庫(kù)中，有49%包含了兩年內(nèi)未進(jìn)行任何更新的開(kāi)源代碼開(kāi)源軟件的使用者需要改進(jìn)維護(hù)實(shí)踐BlackDuck審計(jì)服務(wù)團(tuán)隊(duì)在2023年對(duì)經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估的936個(gè)代碼庫(kù)進(jìn)行審查時(shí)發(fā)現(xiàn)，91%的代碼庫(kù)中包含了比最新版本落后10個(gè)或以上版本的組件。開(kāi)源軟件的使用者有時(shí)候不更新開(kāi)源組件，這可能有一些合理的理由。如果他們知道自己使用的開(kāi)源軟件的情況，則可以做出正確的決定，但遺憾的是，很多人并不知道?開(kāi)發(fā)團(tuán)隊(duì)可能會(huì)認(rèn)為，更新開(kāi)源組件可能帶來(lái)的意外風(fēng)險(xiǎn)大于升級(jí)到新版本所帶來(lái)的好處。例如，嵌入式軟件受到只能從外部來(lái)源引入的攻擊風(fēng)險(xiǎn)可能很小。這也可能是時(shí)間/資源的問(wèn)題。許多團(tuán)隊(duì)在構(gòu)建和測(cè)試新代碼時(shí)，已經(jīng)沒(méi)有多余的時(shí)間和資源去更新現(xiàn)有軟件，除非是非常緊急的問(wèn)題。新思科技《2023年全球DevSecOps狀況調(diào)查報(bào)告》指出，對(duì)1,000名IT安全專(zhuān)業(yè)人士進(jìn)行的調(diào)查顯示，28%的受訪者表示其組織機(jī)構(gòu)需要長(zhǎng)達(dá)三周的時(shí)間來(lái)修補(bǔ)已部署應(yīng)用中的重大安全風(fēng)險(xiǎn)/漏洞，另有20%的受訪者表示，這可能需要一個(gè)月的時(shí)間。這些數(shù)字適用于所有的漏洞?自有、商業(yè)、第三方軟件和開(kāi)源軟件。OSSRA報(bào)告近十年來(lái)一直都在強(qiáng)調(diào)，開(kāi)源軟件不同于商業(yè)軟件?沒(méi)有孰優(yōu)孰劣的區(qū)別，只是單純的不同?需要不同的管理技可能只是由開(kāi)發(fā)者自行下載。對(duì)開(kāi)源軟件的使用可能存在一些組織規(guī)則?例如，只使用具有許可證的代碼?但在很多組織機(jī)構(gòu)|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|15研究結(jié)果與建議無(wú)論是個(gè)人開(kāi)發(fā)者還是大型企業(yè)，都有責(zé)任維護(hù)軟件供應(yīng)鏈的安全以降低風(fēng)險(xiǎn)。隨著軟件供應(yīng)鏈攻擊數(shù)量的增加，有效地管理開(kāi)源軟件的使用、組件和依賴(lài)關(guān)系對(duì)于風(fēng)險(xiǎn)管理變得越來(lái)越重要。所有使用開(kāi)源軟件的組織機(jī)構(gòu)?正如本報(bào)告指出，這幾乎包括了所有組織機(jī)構(gòu)?都應(yīng)該主動(dòng)管理開(kāi)源風(fēng)險(xiǎn)，將其作為安全軟件開(kāi)發(fā)實(shí)踐的一部分。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)于2023年底發(fā)布的《保障軟件供應(yīng)鏈安全：管理開(kāi)源軟件和軟件物料清單的推薦做法》（SecuringtheSoftwareSupplyChain:RecommendedPracticesforManagingOpenSourceSoftwareandSoftwareBillof Materials）為在軟件供應(yīng)鏈中使用開(kāi)源軟件提供了詳細(xì)指導(dǎo)，包括：?安全團(tuán)隊(duì)通常會(huì)定義與開(kāi)源組件相關(guān)的安全策略、流程和工具。理想情況下，開(kāi)發(fā)者應(yīng)該從經(jīng)過(guò)預(yù)先審核的內(nèi)部倉(cāng)庫(kù)中選擇具有所需功能的組件?即已經(jīng)使用SCA安全分析工具進(jìn)行了初始漏洞評(píng)估?然后在開(kāi)發(fā)和/或構(gòu)建階段開(kāi)展進(jìn)一步掃描，以盡早發(fā)現(xiàn)問(wèn)題。了解軟件中包含哪些組件對(duì)于準(zhǔn)確、完整地管理代碼至關(guān)重要。SBOM是包含軟件中組件細(xì)節(jié)和供應(yīng)鏈關(guān)系的正式記錄。SBOM可以提高軟件的透明度并記錄組件的來(lái)源。對(duì)于漏洞管理，S看，SBOM的存在可能表明供應(yīng)商在整個(gè)軟件開(kāi)發(fā)生命周期中使用了安全的軟件開(kāi)發(fā)實(shí)踐。第14028號(hào)行政命令(EO)“提升國(guó)家網(wǎng)絡(luò)安全”規(guī)定，軟件供應(yīng)商必須直接向采購(gòu)方提供SBOM，且政府和非政府方面可能都需要查看SBOM，以確保軟件產(chǎn)品符合SBOM的最低要求。該行政命令還指示商務(wù)部以及國(guó)家電信和信息管理局(NTIA)發(fā)布《軟件物料清單最低要求》（TheMinimumElementsforaSoftwareBillofMaterials(SBOM)以簡(jiǎn)要說(shuō)明SBOM所需的活動(dòng)和數(shù)據(jù)，并給出滿足SBOM要求的示例格式。該文件將SPDX和CycloneDX確定為兩種最常用的機(jī)器可讀SBOM格式。2023年中期，管理和預(yù)算辦公室(OMB)發(fā)布了OMB-23-16備忘錄，更新了早期的OMB備忘錄，允許聯(lián)邦機(jī)構(gòu)對(duì)SBOM提出以下要求：?SBOM可根據(jù)軟件的重要性或其他標(biāo)準(zhǔn)而有所不同，具體由每個(gè)機(jī)構(gòu)自行決定?SBOM必須采用NTIA定義的其中一種格式|2024年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告|16創(chuàng)建安全的軟件開(kāi)發(fā)框架為了保障客戶和用戶的利益，軟件生產(chǎn)商在保證軟件供應(yīng)鏈的安全方面扮演著重要的角色。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的“安全軟件開(kāi)發(fā)框架”(SSDF)提出了一系列實(shí)踐，作為以標(biāo)準(zhǔn)化方式安全開(kāi)發(fā)軟件的基準(zhǔn)。美國(guó)政府已經(jīng)暗示，符合NISTSSDF可能會(huì)成為美國(guó)政府直接或間接采購(gòu)的所有軟件的必要條件，而且軟件供應(yīng)商很可能需要在不久的將來(lái)自證其遵守SSDF。評(píng)估工具（如新思科技SSDF評(píng)估服務(wù)(SynopsysSSDFReadinessAssessment)）可以確定貴組織的軟件開(kāi)發(fā)實(shí)踐是否與SSDF的實(shí)踐和任務(wù)相一致，以便您可以自信地證明貴組織的軟件開(kāi)發(fā)過(guò)程符合SSDF標(biāo)準(zhǔn)。同樣，新思科技SBOM服務(wù)建立在BlackDuck審計(jì)服務(wù)流程的基礎(chǔ)上，可以對(duì)您的軟件進(jìn)行全面的安全審計(jì)，并生成一個(gè)SBOM，這對(duì)那些還沒(méi)有SBOM生成能力但卻需要一個(gè)基準(zhǔn)SBOM的組織來(lái)說(shuō)是一項(xiàng)很有價(jià)值的服務(wù)。軟件生產(chǎn)商可能因?yàn)榉ㄒ?guī)或合同的要求，需要提供經(jīng)過(guò)審計(jì)的SBOM。軟件使用者可能希望審查某個(gè)供應(yīng)商制作的SBOM。這些情況下，需要一個(gè)聲譽(yù)良好的第三方機(jī)構(gòu)對(duì)軟件進(jìn)行審計(jì)。新思科技SBOM審計(jì)和驗(yàn)證服務(wù)就是基于這些驗(yàn)證過(guò)的流程對(duì)軟件進(jìn)行審計(jì)，并確認(rèn)客戶提供的SBOM是否準(zhǔn)確地反映了供應(yīng)鏈的情況。本報(bào)告的研究結(jié)果總結(jié)如下：?在掃描的1,000多個(gè)代碼庫(kù)中，有96%包含開(kāi)源代碼?77%的源代碼和文件來(lái)自開(kāi)源?53%的代碼庫(kù)存在開(kāi)源許可證沖突?84%的代碼庫(kù)在安全風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)了漏洞；74%有高風(fēng)險(xiǎn)漏洞?91%的代碼庫(kù)中包含比最新版本落后10個(gè)或更多版本的組件91%的代碼庫(kù)都在使用遠(yuǎn)遠(yuǎn)落后于最新版本的開(kāi)源組件時(shí)，軟件使用者需要更好地保持代碼的及時(shí)更新，尤其是在涉及到常用的開(kāi)源組件時(shí)。始終及時(shí)更新開(kāi)源軟件與貴團(tuán)隊(duì)開(kāi)發(fā)的代碼同樣重要。創(chuàng)建并維護(hù)一個(gè)SBOM，記錄您的代碼中包含了哪些軟件組件，以及它們的版如果缺乏對(duì)代碼的全面了解，并且沒(méi)有采用主動(dòng)的軟件衛(wèi)生實(shí)踐，您的軟件就會(huì)暴露在開(kāi)源漏洞和知識(shí)產(chǎn)權(quán)合規(guī)問(wèn)題的潛在攻擊之的軟件就會(huì)暴露在開(kāi)源漏洞和知新思科技與眾不同員可以在編寫(xiě)代碼的時(shí)候快速兼顧安全。您的開(kāi)發(fā)和DevSecOps團(tuán)隊(duì)可以在不影響速度的情況下在開(kāi)發(fā)管道中自動(dòng)進(jìn)行安全測(cè)試。您的安全團(tuán)隊(duì)可以主動(dòng)管理風(fēng)險(xiǎn)并將補(bǔ)救工作聚焦在對(duì)貴組織最重要的事情上。