新思科技（Synopsys）：2022开源安全和风险分析报告（24页）.pdf

1、2022 开源安全和风险分析报告22022 开源安全和风险分析报告 | 2022 Synopsys, Inc. 目录简介 .3关于2022开源安全和风险分析报告与CYRC.4概述 .52022回顾. .6术语. .7OSSRA中涉及的行业. .8漏洞与安全 .9开源漏洞与安全. .102021：开源年. .11各行业的漏洞情况. .12行政命令与供应链安全. .13Top.10漏洞. .14许可 .15开源许可.16了解许可证风险. . 17开源维护 .18由开源代码的开发人员进行维护.19贵组织是否支持开源项目？.19由开源代码的消费者进行维护. 20结语 .21开源软件：“女巫酿”的配方.

2、 22我们的系统脆弱吗？我们的客户会受到攻击吗？我们会被追责吗？. 22开源：一盅佳酿. . 22软件物料清单. . 2232022 开源安全和风险分析报告 | 2022 Synopsys, Inc. INTRODUCTION简介42022 开源安全和风险分析报告 | 2022 Synopsys, Inc. 简介关于2022年开源安全和风险分析报告与CYRC欢迎阅读2022年开源安全和风险分析（OSSRA）报告。第7版OSSRA提供了我们对商业软件中开源安全、合规性、许可和代码质量风险的当前状态的年度深入研究。.Synopsys分享了这些调查结果，以帮助安全、法律、风险和开发团队更好地了解安全

3、和许可证风险状况。本报告中的数据源自Synopsys网络安全研究中心（CyRC），该中心的任务是发布安全建议和调研报告，以帮助企业更好地开发和使用安全的高质量软件。今年，CyRC团队共审查了17个行业中超过2,400个商业代码库的匿名审计结果。被审代码库的数量比去年增长了64%，反映了并购（M&A）交易在整个2021年的显著增长。根据摩根士丹利的数据，2021年的并购交易数量创下历史新高，总价值超过4.9万亿美元。1审计量的增长还可归因于人们认识到软件是公司知识产权（IP）的关键要素。因此，并购交易中的收购方希望了解他们所收购的软件可能存在哪些风险，特别是与许可、安全和该软件中使用的开源代码质

4、量相关的风险。过去20年间，Black. Duck软件组成分析（SCA）解决方案和审计服务被世界各地的开发、安全和法律团队所信赖。我们的SCA解决方案帮助企业有效识别、跟踪开源代码、并跨越多个开发环境自动执行开源策略。.每年，我们的审计服务团队都会为客户审计数千个代码库，主要是为了识别并购交易中的一系列软件风险。Black.Duck审计提供全面且最新的软件物料清单（SBOM），涵盖应用程序中的开源代码、第三方代码、Web服务和API。审计服务团队依靠来自. Black. Duck.KnowledgeBase.的数据识别潜在的许可证合规与安全风险。该知识库中存储了超过510万个开源组件的近2亿个

5、版本的信息。这些组件使用了来自超过2.6万个独特来源的数据，且这些数据均由CyRC精心组织和验证。2021年的审计数据分析由CyRC的Belfast团队负责。除了收集和分析本报告中使用的数据外，该团队还负责Synopsys.Black.Duck.增强安全解决方案（Black.Duck.Security.Advisories，BDSA），旨在通过这些详细的漏洞通知信息直接向Black.Duck的商业客户提供增强的漏洞信息。OSSRA.数据都表明，无论您身处哪个行业，为谨慎起见，您都应该假设您所构建和使用的软件中包含开源组件。正如我们的调研结果所强调的那样，开源软件无处不在，您需要对其使用进行妥善

6、管理。开源是我们今天所依赖的每一个应用程序的基础。识别、跟踪和管理开源代码对于有效确保软件安全至关重要。本报告提供了一些关键建议，旨在帮助开发人员和消费者更好地了解开源生态系统，并负责任地管理开源。开源无处不在，您需要对其使用进行妥善管理52022 开源安全和风险分析报告 | 2022 Synopsys, Inc. INTRODUCTION概述62022 开源安全和风险分析报告 | 2022 Synopsys, Inc. 概述2,409个2021年共审计代码库87%97%的代码库实施了安全与风险评估的代码库中包含开源代码的被审代码库中包含至少一个漏洞的开源代码存在于被审代码库中的被审代码库中包