1、2024年开源安全和风险分析报告您的开源供应链安全指南|2024年开源安全和风险分析报告|2目录3|综述3|关于OSSRA 20244|概述6|开源漏洞与安全性7|采取措施，防止漏洞进入您的软件供应链8|10大漏洞中有8个可以追溯到同一个CWE9|为何某些BDSA没有CVE10|按行业划分的漏洞情况11|开源许可12|了解许可证风险14|防范AI编码工具带来的安全和知识产权合规风险15|影响开源风险的运营因素15|开源使用者需要改进维护实践16|研究结果与建议17|创建安全的软件开发框架17|了解代码的构成18|术语18|贡献者|2024年开源安全和风险分析报告|3本报告提供了一些建议，旨在帮

2、助开源软件创建者和使用者负责任地管理软件，特别是在保障软件供应链安全的背景下。无论您是软件的使用者还是提供者，您都是软件供应链的一部分，需要保护您所使用的应用免受上游和下游风险的影响。在接下来的几页中，我们将探讨：对开源安全的持续关注 为何说开发者需要改进以保持开源组件的持续更新 软件供应链管理需要软件物料清单(SBOM)如何防范AI编码工具带来的安全和知识产权合规风险近十年来，开源安全和风险分析(OSSRA)报告的主题一直是“您是否知道贵组织的代码构成情况？”2024年，这个问题比以往任何时候都更加重要。如今，随着开源的广泛使用以及AI生成代码的日益增多，使用第三方代码构建的应用越来越多。如

3、果无法全面了解代码的构成情况，无论是您自己，还是您的供应商和最终用户，都将无法确定软件可能包含的风险。保障软件供应链的安全首先要知道代码中包含哪些开源组件，并识别它们各自的许可证、代码质量和潜在漏洞。关于OSSRA 2024欢迎阅读2024年第9版开源安全和风险分析(OSSRA)报告。今年的OSSRA提供了新思网络安全研究中心（CyRC）对商业软件中的开源安全性、合规性、许可和代码质量风险当前状态的年度深入研究。我们分享这些调查研究结果，也是为了帮助安全、法务、风险和开发团队更好地了解安全和许可证风险状况。本报告使用的数据来自新思科技Black Duck审计服务团队在2023年间对来自17个行

4、业的1,067个商业代码库的匿名调查结果。20多年来，审计服务团队一直在帮助世界各地的安全、开发和法务团队加强其项目的安全性和许可证合规。审计服务团队每年为客户审计数千个代码库，主要目的是识别并购(M&A)交易中一系列的软件风险。该审计还提供全面、高度准确的软件物料清单(SBOM)，涵盖企业应用中的开源代码、第三方代码、Web服务和应用编程接口(API)。审计服务团队依靠Black Duck KnowledgeBase知识库的数据识别潜在许可证合规与安全风险。该知识库由CyRC创建、管理并积累多年，存储了来自3.1万+开源代码仓库的780万+开源组件。本OSSRA报告强调了开源代码在软件领域的

5、广泛使用，以及管理不善可能带来的风险。开源代码是当今各种企业和个人应用程序的基石。有效地识别、跟踪和管理开放源代码，对于成功实施软件安全计划非常重要，也是提高软件供应链安全水平的关键因素。综述|2024年开源安全和风险分析报告|4概述经过风险评估的代码库中，14%包含10年以上的漏洞10年经过风险评估的代码库中，49%包含24个月内未更新的组件24月经过风险评估的代码库中，漏洞平均年龄为2.8年2.8年12月经过风险评估的代码库中，1%包含至少12个月内未被更新/修补的组件936个代码库经过风险评估2023年审查了1,067个代码库=10个数据库经过风险评估的代码库中，84%包含漏洞经过风险评

6、估的代码库中，74%包含高风险漏洞84%74%经过风险评估的代码库中，91%包含了比最新版本落后10个以上版本的组件91%31%31%的被审代码库中包含没有许可证或使用定制许可证的开源代码53%53%的被审代码库中存在许可证冲突96%96%的被审代码库中包含开源代码77%77%的开源代码存在于被审的代码库中|2024年开源安全和风险分析报告|5图1：本次研究审查的1,067个代码库，按行业划分航空航天、汽车、运输和物流69%100%虚拟现实、游戏、娱乐和媒体53%97%制造业、工业和机器人88%100%物联网50%100%教育科技87%95%互联网和移动应用64%100%大数据、AI、BI和机