【TechWeb】當前,全球開源市場發展迅速,國內企業也在積極擁抱開源,為自身帶來顯而易見的利益。
中國信息通信研究院(以下簡稱“信通院”)日前發布的《開源生態白皮書(2020年)》顯示,我國開源軟件應用比例略有提升,2019年我國企業已經使用開源技術的企業占比為87.4%。隨著開源軟件的應用越來越廣泛和深入,風險日益凸顯,開源治理被越來越多的企業重視。
新思科技軟件質量與安全部門銷售總監兼管理顧問薛植元在接受TechWeb采訪時表示,根據新思科技發布的《2020年開源安全和風險分析》報告(OSSRA),在過去一年中,99%被審計的所有有效代碼庫至少包含一個開源組件,其中開源占所有代碼的70%。企業使用開源軟件將會面臨安全漏洞、許可證違規和運維三大風險。
新思科技2020 OSSRA報告還發現經過審計的代碼庫中,75%包含具有已知安全漏洞的開源組件,將近一半(49%)的代碼庫包含高風險漏洞,而且91%的代碼庫包含已經過期四年以上或者近兩年沒有開發活動的組件。
針對企業面臨的開源風險,新思科技提出用有效的方法跟蹤和管理,為企業提供解決方案。
薛植元指出,開源治理在國外已經形成了完備的技術、方法論和實踐,對于國內,近兩年來由于信息安全一些事件、許可糾紛等因素,企業和政府都意識到開源風險的問題,并且對國內的開源產業非常重視,開源治理逐漸興起,起步較晚還處在初級階段,但是發展很快,實現了爆發式的增長。
薛植元認為開源軟件數量龐大是開源治理的首要難點,在日前舉辦的2020 OSCAR開源產業大會上,新思科技軟件組成分析工具Black Duck,開源組件檢出率高達95%,從探測、保護、管理到監控提供端到端開源風險管理方案。
“Black Duck有哪些特性呢?首先第一點就是探測,探測能力非常強,而且非常的完備,針對不同的語言、不同的開發環境都有對應的探測手段,能深入找到這些開源組件。
第二點就是保護,我們可以探測到開源大腦中的已知的安全漏洞和開源的相關風險,并且給予你一個比較及時的修復的建議。
第三點其實就是管理,你可以在基于Black Duck的基礎上去制定驗證和強制執行你的開源軟件使用策略,使它整個融入到軟件開發生命周期當中,使整個的策略、人和技術,三者統一。”薛植元說道。
