1、简介12023开源安全和风险分析报告22023年开源安全和风险分析报告|2023 Synopsys,Inc.目录简介.3关于2023年开源安全和风险分析报告与新思科技网络安全研究中心(CyRC).3概述.42022回顾.4行业概况.5术语 .6漏洞与安全性.7开源漏洞与安全性.7戈尔迪之结：开源软件风险与供应链安全.8行业漏洞情况.9五年回顾.11许可.13开源许可.13了解许可证风险 .14开源代码的维护.15开源代码开发者维护概况 .15已知风险之外的风险.16开源代码使用者维护概况 .17结语.18“信任，但要验证”.18信任的问题.18通过SBOM进行验证.1832023年开源安全和风

2、险分析报告|2023 Synopsys,Inc.简介关于2023年开源安全和风险分析报告与新思科技网络安全研究中心(CyRC)欢迎阅读2023年第8版 开源安全和风险分析(OSSRA)报告。今年的OSSRA提供了新思网络安全研究中心（CyRC）对商业软件中的开源安全性、合规性、许可和代码质量风险当前状态的年度深入研究。我们分享了这些调查研究结果，以帮助安全、法律、风险和开发团队更好地了解安全和许可证风险状况。新思科技网络安全研究中心(CyRC)为本报告提供了数据。该中心的任务是发布安全建议和调研报告，以帮助企业更好地开发和使用安全的高质量软件。OSSRA年度报告代表CyRC从上一年数据中得出的

3、结论。因此，我们的2023年报告显示的是2022年的数据。在2022年，CyRC对来自17个行业的超1,700个商业代码库的匿名调查结果进行了研究。我们的审计服务团队每年为客户审计数千个代码库，主要目的是识别并购(M&A)交易中一系列的软件风险。尽管2022年经济前景不明朗，科技领域的并购也相应放缓，但审计代码库的数量依然可观。近20年来，新思科技Black Duck软件组成分析(SCA)产品团队和CyRC审计服务团队一直在帮助世界各地的安全、开发和法律团队加强其项目的安全性和许可证合规。Black Duck SCA使企业能够识别和跟踪开源代码，并在其现有的开发环境中集成自动化的开源实施策略。

4、Black Duck审计通常在并购交易背景下进行，涵盖软件风险的方方面面。该审计还提供全面的、高度准确的软件物料清单(SBOM)，涵盖企业应用中的开源代码、第三方代码、Web服务和应用编程接口(API)。审计服务团队依靠Black Duck KnowledgeBase知识库的数据识别潜在的许可证合规与安全风险。该知识库由CyRC创建、管理和多年积累，存储了来自2.8万多个开源代码仓库超610万个开源组件的数据。无论您经营什么行业，或者您在企业安全和风险管理方面扮演什么角色，OSSRA持续强调，日益普及的开源软件推动着业务发展，同时也存在无法进行有效管理的困难。我们每年都在强调，开源软件是我们今

5、天所依赖的每个应用程序的基础。因此，有效地识别、跟踪和管理开源代码对于成功的软件安全计划至关重要。本报告提供了关键的建议和洞察，以帮助开源软件的开发者和使用者更好地了解开源生态系统以及如何对其进行负责任的管理。无论您经营什么行业，OSSRA持续强调，日益普及的开源软件推动着业务发展，同时也存在难以进行有效管理的困难。42023年开源安全和风险分析报告|2023 Synopsys,Inc.概述 包含开源代码的库的百分比 代码库中开源代码的百分比 至少包含一个漏洞的代码库的百分比 包含高风险漏洞的代码库的百分比54%的代码库存在许可证冲突54%31%的代码库包含没有许可证或使用定制许可证的开源代码

6、31%89%的代码库包含至少已过期四年的开源代码89%91%的代码库包含两年内未更新的组件91%2022年审查的1,703个代码库中，87%包括安全和运营风险评估。96%76%84%48%201920202021202220180408020601002023年开源安全和风险分析报告|2023 Synopsys,Inc.5按行业划分的开源代码使用情况 包含开源代码的代码库的百分比 代码库中开源代码的百分比航空航天、汽车、运输和物流计算机硬件和半导体 医疗保健、健康科技和生命科学互联网和软件基础架构能源与清洁科技金融服务和金融科技互联网和移动应用大数据、AI、BI和机器学习 制造业、工业和机器人