2022開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告.pdf

2022開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告。今年，CyRC團(tuán)隊(duì)共審查了17個(gè)行業(yè)中超過(guò)2,400個(gè)商業(yè) 代碼庫(kù)的匿名審計(jì)結(jié)果。被審代碼庫(kù)的數(shù)量比去年增長(zhǎng)了 64%，反映了并購(gòu)（M&A）交易在整個(gè)2021年的顯著增 長(zhǎng)。根據(jù)摩根士丹利的數(shù)據(jù)，2021年的并購(gòu)交易數(shù)量創(chuàng) 下歷史新高，總價(jià)值超過(guò)4.9萬(wàn)億美元。1審計(jì)量的增長(zhǎng)還 可歸因于人們認(rèn)識(shí)到軟件是公司知識(shí)產(chǎn)權(quán)（IP）的關(guān)鍵要 素。因此，并購(gòu)交易中的收購(gòu)方希望了解他們所收購(gòu)的軟 件可能存在哪些風(fēng)險(xiǎn)，特別是與許可、安全和該軟件中使 用的開(kāi)源代碼質(zhì)量相關(guān)的風(fēng)險(xiǎn)。

過(guò)去20年間，Black. Duck®軟件組成分析（SCA）解決方 案和審計(jì)服務(wù)被世界各地的開(kāi)發(fā)、安全和法律團(tuán)隊(duì)所信 賴。我們的SCA解決方案幫助企業(yè)有效識(shí)別、跟蹤開(kāi)源代 碼、并跨越多個(gè)開(kāi)發(fā)環(huán)境自動(dòng)執(zhí)行開(kāi)源策略。

每年，我們的審計(jì)服務(wù)團(tuán)隊(duì)都會(huì)為客戶審計(jì)數(shù)千個(gè)代 碼庫(kù)，主要是為了識(shí)別并購(gòu)交易中的一系列軟件風(fēng) 險(xiǎn)。Black. Duck審計(jì)提供全面且最新的軟件物料清單 （SBOM），涵蓋應(yīng)用程序中的開(kāi)源代碼、第三方代 碼、Web服務(wù)和API。審計(jì)服務(wù)團(tuán)隊(duì)依靠來(lái)自. Black. Duck.KnowledgeBase™. 的數(shù)據(jù)識(shí)別潛在的許可證合規(guī)與安全 風(fēng)險(xiǎn)。該知識(shí)庫(kù)中存儲(chǔ)了超過(guò)510萬(wàn)個(gè)開(kāi)源組件的近2億個(gè) 版本的信息。這些組件使用了來(lái)自超過(guò)2.6萬(wàn)個(gè)獨(dú)特來(lái)源的 數(shù)據(jù)，且這些數(shù)據(jù)均由CyRC精心組織和驗(yàn)證。

2021年的審計(jì)數(shù)據(jù)分析由CyRC的Belfast團(tuán)隊(duì)負(fù)責(zé)。 除了收集和分析本報(bào)告中使用的數(shù)據(jù)外，該團(tuán)隊(duì)還負(fù)責(zé) Synopsys.Black.Duck.增強(qiáng)安全解決方案（Black.Duck.Security. Advisories，BDSA），旨在通過(guò)這些詳細(xì)的 漏洞通知信息直接向Black. Duck的商業(yè)客戶提供增強(qiáng) 的漏洞信息。

OSSRA. 數(shù)據(jù)都表明，無(wú)論您身處哪個(gè)行業(yè)，為謹(jǐn)慎起 見(jiàn)，您都應(yīng)該假設(shè)您所構(gòu)建和使用的軟件中包含開(kāi)源組 件。正如我們的調(diào)研結(jié)果所強(qiáng)調(diào)的那樣，開(kāi)源軟件無(wú)處不 在，您需要對(duì)其使用進(jìn)行妥善管理。開(kāi)源是我們今天所依 賴的每一個(gè)應(yīng)用程序的基礎(chǔ)。識(shí)別、跟蹤和管理開(kāi)源代碼 對(duì)于有效確保軟件安全至關(guān)重要。本報(bào)告提供了一些關(guān)鍵 建議，旨在幫助開(kāi)發(fā)人員和消費(fèi)者更好地了解開(kāi)源生態(tài)系 統(tǒng)，并負(fù)責(zé)任地管理開(kāi)源。