2024年开源安全和风险分析报告

VIP专享
3.0 波段之刀2024 2024-10-26 26 4.26MB 18 页 免费
侵权投诉
2024年开源安全和风险分析报告
您的开源供应链安全指南
| 2024年开源安全和风险分析报告 | 2
目录
3 | 综述
3 | 关于OSSRA 2024
4 | 概述
6 | 开源漏洞与安全性
7 | 采取措施防止漏洞进入您的软件供应链
8 | 10大漏洞中有8个可以追溯到同一个CWE
9 | 为何某些BDSA没有CVE
10 | 按行业划分的漏洞情况
11 | 开源许可
12 | 了解许可证风险
14 | 防范AI编码工具带来的安全和知识产权合规风险
15 | 影响开源风险的运营因素
15 | 开源使用者需要改进维护实践
16 | 研究结果与建议
17 | 创建安全的软件开发框架
17 | 了解代码的构成
18 | 术语
18 | 贡献者
| 2024年开源安全和风险分析报告 | 3
本报告提供了一些建议旨在帮助开源软件创建者和使用者负责任地管理软件特别是在保障软件供应链安全的背景下。无论您是软
件的使用者还是提供者您都是软件供应链的一部分需要保护您所使用的应用免受上游和下游风险的影响。在接下来的几页中
们将探讨:
对开源安全的持续关注
为何说开发者需要改进以保持开源组件的持续更新
软件供应链管理需要软件物料清单 (SBOM)
如何防范AI编码工具带来的安全和知识产权合规风险
近十年来开源安全和风险分析 (OSSRA) 报告的主题一直是“您是否知道贵组织的代码构成情况?2024这个问题比以往任何时
候都更加重要。如今随着开源的广泛使用以及AI生成代码的日益增多使用第三方代码构建的应用越来越多。
如果无法全面了解代码的构成情况无论是您自己还是您的供应商和最终用户都将无法确定软件可能包含的风险。保障软件供应
链的安全首先要知道代码中包含哪些开源组件并识别它们各自的许可证、代码质量和潜在漏洞。
关于OSSRA 2024
欢迎阅读2024年第9版开源安全和风险分析(OSSRA)报告。今年的OSSRA提供了新思网络安全研究中心CyRC对商业软件中的开源
安全性、合规性、许可和代码质量风险当前状态的年度深入研究。我们分享这些调查研究结果也是为了帮助安全、法务、风险和开发
团队更好地了解安全和许可证风险状况。
本报告使用的数据来自新思科技Black Duck®审计服务团队在2023年间对来自17个行业的1,067个商业代码库的匿名调查结果。20
多年来审计服务团队一直在帮助世界各地的安全、开发和法务团队加强其项目的安全性和许可证合规。审计服务团队每年为客户审
计数千个代码库主要目的是识别并购(M&A)交易中一系列的软件风险。
该审计还提供全面、高度准确的软件物料清单(SBOM)涵盖企业应用中的开源代码、第三方代码、Web服务和应用编程接口(API)。审
计服务团队依靠Black Duck KnowledgeBase™知识库的数据识别潜在许可证合规与安全风险。该知识库由CyRC创建管理并积累多
存储了来自3.1+开源代码仓库的780+开源组件。
OSSRA报告强调了开源代码在软件领域的广泛使用以及管理不善可能带来的风险。开源代码是当今各种企业和个人应用程序的
基石。有效地识别、跟踪和管理开放源代码对于成功实施软件安全计划非常重要也是提高软件供应链安全水平的关键因素。
综述
摘要:

2024年开源安全和风险分析报告您的开源供应链安全指南|2024年开源安全和风险分析报告|2目录3|综述3|关于OSSRA20244|概述6|开源漏洞与安全性7|采取措施,防止漏洞进入您的软件供应链8|10大漏洞中有8个可以追溯到同一个CWE9|为何某些BDSA没有CVE10|按行业划分的漏洞情况11|开源许可12|了解许可证风险14|防范AI编码工具带来的安全和知识产权合规风险15|影响开源风险的运营因素15|开源使用者需要改进维护实践16|研究结果与建议17|创建安全的软件开发框架17|了解代码的构成18|术语18|贡献者|2024年开源安全和风险分析报告|3本报告提供了一些建议,旨在帮助...

展开>> 收起<<
2024年开源安全和风险分析报告.pdf

共18页,预览6页

还剩页未读, 继续阅读

作者:波段之刀2024 分类:电子书 价格:免费 属性:18 页 大小:4.26MB 格式:PDF 时间:2024-10-26

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务
/ 18
客服
关注