国产成人超清在线视频,国产高清永久免费,国产最新超碰97上传无码,超碰国产人人草人人爽

AIUST選配圖

Synopsys 公司近日發(fā)布了“2018 年開(kāi)源代碼安全和風(fēng)險(xiǎn)分析” Black Duck（黑鴨）報(bào)告，深入考察了商業(yè)軟件中開(kāi)源安全性，許可證合規(guī)以及代碼質(zhì)量風(fēng)險(xiǎn)的狀況。本次報(bào)告討論的是從 2017 年審計(jì)的超過(guò) 1,100 個(gè)商業(yè)代碼庫(kù)中的匿名數(shù)據(jù)所得出的結(jié)果，行業(yè)包括汽車、大數(shù)據(jù)（主要是人工智能和商業(yè)智能）、網(wǎng)絡(luò)安全、企業(yè)軟件、金融服務(wù)、醫(yī)療保健、物聯(lián)網(wǎng)（IoT）、制造業(yè)和移動(dòng)應(yīng)用市場(chǎng)。

開(kāi)源軟件與定制代碼相比，既不是更不安全，也不是更安全。但是，開(kāi)源軟件的某些特性使得流行組件中的漏洞對(duì)攻擊者非常有吸引力。Black Duck（黑鴨）審計(jì)結(jié)果顯示，現(xiàn)在，開(kāi)源代碼在商業(yè)應(yīng)用和內(nèi)部應(yīng)用中無(wú)處不在，這在漏洞被披露時(shí)為攻擊者提供了目標(biāo)非常豐富的環(huán)境。漏洞以及對(duì)漏洞的利用通常是通過(guò)全國(guó)漏洞數(shù)據(jù)庫(kù)（NVD，National Vulnerability Database）、郵件列表和項(xiàng)目主頁(yè)等來(lái)源進(jìn)行披露的。

商業(yè)軟件把更新自動(dòng)推送給用戶，而開(kāi)源軟件與之不同，后者采用一種拉動(dòng)支持（pull support）模式，即：用戶自行負(fù)責(zé)跟蹤他們所使用的開(kāi)源軟件的漏洞、修復(fù)和更新。開(kāi)源代碼可以通過(guò)多種方式進(jìn)入代碼庫(kù)，不僅可以通過(guò)第三方供應(yīng)商和外部開(kāi)發(fā)團(tuán)隊(duì)進(jìn)入，也可以通過(guò)內(nèi)部開(kāi)發(fā)人員進(jìn)入。如果一個(gè)組織機(jī)構(gòu)不了解其所使用的所有開(kāi)源代碼，它就不可能抵御針對(duì)這些組件中已知漏洞的常見(jiàn)攻擊，并且它自己也會(huì)暴露在許可證合規(guī)風(fēng)險(xiǎn)之中。

2017 年，Black Duck On-Demand（黑鴨按需）審計(jì)在每個(gè)代碼庫(kù)中發(fā)現(xiàn)了 257 個(gè)開(kāi)源組件。到 2018 年，每個(gè)代碼庫(kù)中開(kāi)源組件的數(shù)量增長(zhǎng)了約 75％。審計(jì)發(fā)現(xiàn)，96％ 的被掃描應(yīng)用中存在開(kāi)源組件，這一比例與去年的報(bào)告相似。而在被掃描的應(yīng)用的代碼庫(kù)中，開(kāi)源代碼的平均比例從去年的 36％ 增長(zhǎng)到 57％，這表明開(kāi)源代碼的使用量在持續(xù)大幅度增長(zhǎng)，同時(shí)也表明，目前大量的應(yīng)用所包含的開(kāi)源代碼要多于專有代碼。

某些開(kāi)源組件對(duì)開(kāi)發(fā)人員來(lái)說(shuō)非常重要，以至于這些組件在極大部分的應(yīng)用中都能找到。今年，用于開(kāi)發(fā) HTML、CSS 和 JavaScript 的開(kāi)源工具包 Bootstrap 出現(xiàn)在 40% 的全部被掃描應(yīng)用中；緊隨其后的是 jQuery，有36％的應(yīng)用包括該開(kāi)源組件。在各行業(yè)常見(jiàn)的組件中，值得注意的是 Lodash，這是一個(gè)為編程任務(wù)提供實(shí)用函數(shù)的 JavaScript 庫(kù)。Lodash 是諸如醫(yī)療保健、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、市場(chǎng)營(yíng)銷、電子商務(wù)和電信等

行業(yè)所采用的應(yīng)用中最經(jīng)常使用的開(kāi)源組件。

審計(jì)還發(fā)現(xiàn)，每個(gè)代碼庫(kù)中開(kāi)源漏洞的數(shù)量增長(zhǎng)了 134％，而 78％ 的被檢查代碼庫(kù)中包含至少一個(gè)漏洞，每個(gè)代碼庫(kù)平均包含 64 個(gè)漏洞。這一高增長(zhǎng)率部分歸因于2017年報(bào)告的創(chuàng)記錄的漏洞數(shù)量。僅美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD，National Vulnerability Database）就列出了超過(guò) 14,700 個(gè)漏洞，而 2016 年僅列出 6,400 個(gè)漏洞。其他報(bào)告給出的漏洞總數(shù)超過(guò) 2 萬(wàn)個(gè)，其中近8000 是 NVD 報(bào)告未列出的。這些數(shù)字說(shuō)明了 2017 年所報(bào)告的所有已知漏洞的情況，但其中超過(guò) 4,800 個(gè)是開(kāi)源漏洞，這延續(xù)了已知開(kāi)源漏洞為期五年的增長(zhǎng)趨勢(shì)。過(guò)去 17 年來(lái)，已經(jīng)有超過(guò) 40,000 個(gè)開(kāi)源漏洞被報(bào)道。

掃描揭示的另一個(gè)重要數(shù)據(jù)點(diǎn)是，所發(fā)現(xiàn)的漏洞的平均年齡正在增加。平均而言，審計(jì)中發(fā)現(xiàn)的漏洞大約在六年前已經(jīng)被披露了，而在 2017 年報(bào)告則顯示是四年前被披露。這表明，負(fù)責(zé)修復(fù)工作的人員需要花費(fèi)更長(zhǎng)時(shí)間才能完成修復(fù)（如果他們確實(shí)正在著手修復(fù)的話），這就使得越來(lái)越多的漏洞在代碼庫(kù)中積累起來(lái)。

此外，這些開(kāi)源組件還廣泛存在許可證問(wèn)題，企業(yè)不太可能使用傳統(tǒng)的電子表格方法來(lái)跟蹤這么大量的許可證義務(wù)，而如果沒(méi)有一套自動(dòng)化流程的話，這可能就是件不可能的工作。這也導(dǎo)致 74% 的被審計(jì)代碼庫(kù)中包含存在許可證沖突的組件，其中最常見(jiàn)的是違反 GPL 許可證協(xié)議，存在于 44％ 的代碼庫(kù)中。該報(bào)告進(jìn)行審計(jì)的代碼庫(kù)中，85% 或存在許可證沖突，或包含不具備許可證的組件。

其中，互聯(lián)網(wǎng)和軟件基礎(chǔ)設(shè)施垂直行業(yè)的應(yīng)用包含高風(fēng)險(xiǎn)開(kāi)源漏洞的比例最高，為 67％；其次是互聯(lián)網(wǎng)和移動(dòng)應(yīng)用行業(yè)，比例為 60％。具有諷刺意味的是，網(wǎng)絡(luò)安全行業(yè)的仍然被發(fā)現(xiàn)存在很高比例的高風(fēng)險(xiǎn)開(kāi)源漏洞，雖然低于去年的59％，但依然高達(dá)41％，這使得該垂直行業(yè)處于第四高的位置。

在金融服務(wù)和金融科技市場(chǎng)中，34％ 的被掃描應(yīng)用包含高風(fēng)險(xiǎn)漏洞，而醫(yī)療保健、健康技術(shù)和生命科學(xué)垂直行業(yè)中的應(yīng)用緊隨其后，有 31％ 的應(yīng)用包含高風(fēng)險(xiǎn)漏洞。制造業(yè)、工業(yè)和機(jī)器人技術(shù)在這方面的比例最低，為 9％，這可能是由于 OEM（制造商）對(duì)整個(gè)軟件供應(yīng)鏈上的供應(yīng)商施加壓力，要求后者提供經(jīng)過(guò)審查的、干凈的代碼。相反，制造業(yè)垂直行業(yè)在所有垂直行業(yè)中占據(jù)了第三大許可證沖突的位置，比例高達(dá)  91％。

事實(shí)上，根據(jù)黑鴨按需審計(jì)集團(tuán)（Black Duck On-Demand）提供的審計(jì)數(shù)據(jù)，所有垂直行業(yè)的企業(yè)都應(yīng)該關(guān)注開(kāi)源許可證問(wèn)題，也應(yīng)該關(guān)注由于未能遵守開(kāi)源許可證協(xié)議而導(dǎo)致的代碼知識(shí)產(chǎn)權(quán)訴訟或侵權(quán)（compromise）所帶來(lái)的潛在風(fēng)險(xiǎn)。存在許可證沖突的應(yīng)用在各個(gè)行業(yè)分布情況互不相同：在零售和電子商務(wù)行業(yè)中低至 61％，而在電信和無(wú)線行業(yè)則很高 – 他們 100％ 的被掃描代碼都存在某種形式的開(kāi)源許可沖突。

負(fù)責(zé)分析此報(bào)告的由 Synopsys 開(kāi)源研究與創(chuàng)新中心（COSRI）表示，再爭(zhēng)辯是否應(yīng)該使用開(kāi)源代碼已經(jīng)沒(méi)有什么意義了?？梢宰C明的是，目前，大多數(shù)應(yīng)用程序代碼都是開(kāi)源的。在經(jīng)過(guò)審計(jì)的包含開(kāi)源代碼的代碼庫(kù)中，這些代碼庫(kù)中平均 57％ 的代碼都是開(kāi)源組件，這就證明，目前許多應(yīng)用中所包含的開(kāi)源代碼要多于自有代碼。隨著開(kāi)放源代碼使用量的增長(zhǎng)，風(fēng)險(xiǎn)也如影隨形，主要原因在于企業(yè)缺乏適當(dāng)?shù)墓ぞ邅?lái)識(shí)別他們內(nèi)部的以及面向公眾的應(yīng)用程序中使用了多少或者什么樣的開(kāi)源組件。通過(guò)將策略、流程和自動(dòng)化的解決方案集成到軟件開(kāi)發(fā)生命周期中，以便識(shí)別、管理和保護(hù)開(kāi)源代碼，企業(yè)才能夠最大限度地發(fā)揮開(kāi)源的優(yōu)勢(shì)，同時(shí)有效管理漏洞和許可風(fēng)險(xiǎn)。