2024年开源安全和风险分析报告
VIP专享
2024年开源安全和风险分析报告
您的开源供应链安全指南
| 2024年开源安全和风险分析报告 | 3
本报告提供了一些建议,旨在帮助开源软件创建者和使用者负责任地管理软件,特别是在保障软件供应链安全的背景下。无论您是软
件的使用者还是提供者,您都是软件供应链的一部分,需要保护您所使用的应用免受上游和下游风险的影响。在接下来的几页中,我
们将探讨:
• 对开源安全的持续关注
• 为何说开发者需要改进以保持开源组件的持续更新
• 软件供应链管理需要软件物料清单 (SBOM)
• 如何防范AI编码工具带来的安全和知识产权合规风险
近十年来,开源安全和风险分析 (OSSRA) 报告的主题一直是“您是否知道贵组织的代码构成情况?”2024年,这个问题比以往任何时
候都更加重要。如今,随着开源的广泛使用以及AI生成代码的日益增多,使用第三方代码构建的应用越来越多。
如果无法全面了解代码的构成情况,无论是您自己,还是您的供应商和最终用户,都将无法确定软件可能包含的风险。保障软件供应
链的安全首先要知道代码中包含哪些开源组件,并识别它们各自的许可证、代码质量和潜在漏洞。
关于OSSRA 2024
欢迎阅读2024年第9版开源安全和风险分析(OSSRA)报告。今年的OSSRA提供了新思网络安全研究中心(CyRC)对商业软件中的开源
安全性、合规性、许可和代码质量风险当前状态的年度深入研究。我们分享这些调查研究结果,也是为了帮助安全、法务、风险和开发
团队更好地了解安全和许可证风险状况。
本报告使用的数据来自新思科技Black Duck®审计服务团队在2023年间对来自17个行业的1,067个商业代码库的匿名调查结果。20
多年来,审计服务团队一直在帮助世界各地的安全、开发和法务团队加强其项目的安全性和许可证合规。审计服务团队每年为客户审
计数千个代码库,主要目的是识别并购(M&A)交易中一系列的软件风险。
该审计还提供全面、高度准确的软件物料清单(SBOM),涵盖企业应用中的开源代码、第三方代码、Web服务和应用编程接口(API)。审
计服务团队依靠Black Duck KnowledgeBase™知识库的数据识别潜在许可证合规与安全风险。该知识库由CyRC创建、管理并积累多
年,存储了来自3.1万+开源代码仓库的780万+开源组件。
本OSSRA报告强调了开源代码在软件领域的广泛使用,以及管理不善可能带来的风险。开源代码是当今各种企业和个人应用程序的
基石。有效地识别、跟踪和管理开放源代码,对于成功实施软件安全计划非常重要,也是提高软件供应链安全水平的关键因素。
综述
摘要:
展开>>
收起<<
2024年开源安全和风险分析报告您的开源供应链安全指南|2024年开源安全和风险分析报告|2目录3|综述3|关于OSSRA20244|概述6|开源漏洞与安全性7|采取措施,防止漏洞进入您的软件供应链8|10大漏洞中有8个可以追溯到同一个CWE9|为何某些BDSA没有CVE10|按行业划分的漏洞情况11|开源许可12|了解许可证风险14|防范AI编码工具带来的安全和知识产权合规风险15|影响开源风险的运营因素15|开源使用者需要改进维护实践16|研究结果与建议17|创建安全的软件开发框架17|了解代码的构成18|术语18|贡献者|2024年开源安全和风险分析报告|3本报告提供了一些建议,旨在帮助...
相关推荐
-
免费2024-03-09 84
-
免费2024-03-09 32
-
免费2024-04-15 51
-
免费2024-04-24 41
-
免费2024-05-19 51
-
免费2024-05-19 98
-
免费2024-05-19 87
-
免费2024-05-30 87
-
VIP专享2024-08-04 44
-
VIP专享2024-08-12 95
作者:波段之刀2024
分类:电子书
价格:免费
属性:18 页
大小:4.26MB
格式:PDF
时间:2024-10-26