2022開源安全和風(fēng)險分析報告.pdf

2022開源安全和風(fēng)險分析報告。今年，CyRC團隊共審查了17個行業(yè)中超過2,400個商業(yè) 代碼庫的匿名審計結(jié)果。被審代碼庫的數(shù)量比去年增長了 64%，反映了并購（M&A）交易在整個2021年的顯著增 長。根據(jù)摩根士丹利的數(shù)據(jù)，2021年的并購交易數(shù)量創(chuàng) 下歷史新高，總價值超過4.9萬億美元。1審計量的增長還 可歸因于人們認(rèn)識到軟件是公司知識產(chǎn)權(quán)（IP）的關(guān)鍵要 素。因此，并購交易中的收購方希望了解他們所收購的軟 件可能存在哪些風(fēng)險，特別是與許可、安全和該軟件中使 用的開源代碼質(zhì)量相關(guān)的風(fēng)險。

過去20年間，Black. Duck®軟件組成分析（SCA）解決方 案和審計服務(wù)被世界各地的開發(fā)、安全和法律團隊所信 賴。我們的SCA解決方案幫助企業(yè)有效識別、跟蹤開源代 碼、并跨越多個開發(fā)環(huán)境自動執(zhí)行開源策略。

每年，我們的審計服務(wù)團隊都會為客戶審計數(shù)千個代 碼庫，主要是為了識別并購交易中的一系列軟件風(fēng) 險。Black. Duck審計提供全面且最新的軟件物料清單 （SBOM），涵蓋應(yīng)用程序中的開源代碼、第三方代 碼、Web服務(wù)和API。審計服務(wù)團隊依靠來自. Black. Duck.KnowledgeBase™. 的數(shù)據(jù)識別潛在的許可證合規(guī)與安全 風(fēng)險。該知識庫中存儲了超過510萬個開源組件的近2億個 版本的信息。這些組件使用了來自超過2.6萬個獨特來源的 數(shù)據(jù)，且這些數(shù)據(jù)均由CyRC精心組織和驗證。

2021年的審計數(shù)據(jù)分析由CyRC的Belfast團隊負(fù)責(zé)。 除了收集和分析本報告中使用的數(shù)據(jù)外，該團隊還負(fù)責(zé) Synopsys.Black.Duck.增強安全解決方案（Black.Duck.Security. Advisories，BDSA），旨在通過這些詳細(xì)的 漏洞通知信息直接向Black. Duck的商業(yè)客戶提供增強 的漏洞信息。

OSSRA. 數(shù)據(jù)都表明，無論您身處哪個行業(yè)，為謹(jǐn)慎起 見，您都應(yīng)該假設(shè)您所構(gòu)建和使用的軟件中包含開源組 件。正如我們的調(diào)研結(jié)果所強調(diào)的那樣，開源軟件無處不 在，您需要對其使用進行妥善管理。開源是我們今天所依 賴的每一個應(yīng)用程序的基礎(chǔ)。識別、跟蹤和管理開源代碼 對于有效確保軟件安全至關(guān)重要。本報告提供了一些關(guān)鍵 建議，旨在幫助開發(fā)人員和消費者更好地了解開源生態(tài)系 統(tǒng)，并負(fù)責(zé)任地管理開源。