企业如何开展软件成分分析工作?上海控安有话说
为了加速业务创新,应用开源技术提升开发效率成为企业的主流选择,但这也导致了日益依赖复杂的软件供应链。虽然有诸多优点,但广泛应用开源组件也带来了新的安全挑战,软件成分分析(SCA)应运而生。 软件成分风险日益加剧 近日,Synopsys 公司发布了《2020 年开源安全和风险分析(O***A)报告》。报告显示:2019 年审计的代码库中,有70% 进行了开源,同比增长10%。但其中 75% 的代码库中包含已知的安全漏洞,49% 的代码库包含高风险漏洞。无独有偶,今年3月安全公司 WhiteSource 发布的《开源年度报告》也指出,2019 年公开披露的开源漏洞为 6100 个,同比增长 50%。 除了安全漏洞外,应用开源组件导致的法律风险也日渐增多。很多企业对于开源协议以及引用规范并不是十分清晰,进而引起各种不必要的争议甚至法律纠纷。如博云在使用开源项目 Apache SkyWalking 时违反了该项目声明的 Apache License Version 2.0 开源协议规定被要求整改。 软件成分分析应运而生 组件问题由来已久,但直到不久前,软件供应链还是国内企业忽略的主题,SCA相关工具市场份额也一直被国外企业长期垄断。早在2013年版和2017年版的《OWASP Top 10》文档中,就对“使用含有已知漏洞的组件”进行了收录和分析