在软件行业快速发展的时代，“效率至上”被当成软件研发的“信条”。为了满足软件高效迭代的需求，大量使用开源组件和第三方库成为了软件研发的首选。但开源组件/代码帮助企业提高了研发效率的同时，也带来了大量的安全隐患。

01 基础性开源项目无人维护，开源组件安全堪忧

根据Synopsys发布的《2023开源安全和风险分析》报告显示：调研的软件系统中，有76%的软件包含开源软件组件。平均每个代码库由80%的开源代码组成，84%的代码库中包含至少一个已知开源漏洞，比2022年版的OSSRA报告增加了近4%。

另外，报告中也提到，审查的1481个含风险评估的代码库中 ，91%存在过去两年内未进行任何更新的开源代码。（未进行任何更新，即在过去24个月中未开展任何功能升级、代码改进和安全问题修复活动。）可见，开源代码缺乏更新维护，对开源项目安全性影响有多大。

*图源：Synopsys发布的《2023开源安全和风险分析》

据Synopsys报告表示：虽然诸如Kubernetes之类的重要项目仍有良好的维护支持，但也存在很多项目没有或仅由少数几个人进行维护。

Twitter 前开源负责人Will Norris就曾表示：“在Twitter 从事开源工作的大多数关键人物都已经离开了。和我一起开发开源软件的所有工程师都不在了。随着新的管理层到位，新的业务优先事项出台，曾经备受重视的开源项目开始降级，取而代之的是管理层新确定的重点项目。”

目前，虽然Google等企业已经制定了相关的激励计划，来促进开源项目的稳定维护，但其他绝大多数企业依旧是没有任何激励举措，这也就导致了我们开发人员依赖的大多数基础性开源项目，如今变得无人维护。

而正如Synopsys的调研中所示：76%的软件包含开源软件组件，如今开发人员对开源组件/代码依赖程度之大。因此，对于企业而言，相应的开源组件安全风险管控也理应受到重视。

02 如何更好地应对开源组件安全风险？

1、 高效的漏洞扫描

《2023开源安全和风险分析》报告显示，其审计的应用中，每个应用平均引用了将近600个组件。如果只有区区几个组件，采用人工扫描安全漏洞，并对其进行安全修复，或许是可行的。但在这种组件规模下，人工检测显然不现实，因此需要更加自动化的解决方案。网安云软件成分分析检测，全自动机器检测+专家安全审核模式，高效高质量完成第三方组件安全漏洞扫描。

2、 及时的漏洞感知

数据爆炸时代，安全风险信息五花八门，也瞬息万变，软件中引用的第三方组件安全性也在持续发生变化。因此，在第三方组件安全管理中，需要更加及时的安全威胁预警能力支撑。这就需要企业通过第三方厂商能力，或自行进行安全威胁情报能力建设，获得实效性更强的安全风险发现能力。当新的漏洞被披露时，企业可及时获取安全预警，定位受影响的组件，圈定影响范围，及时止损。

网安云软件物料清单管理平台，实现软件安全数据实时采集与分析，秒级的延时粒度，帮助企业及时获取最新的软件安全态势信息。同时，根据内外部安全环境的变化快速调整安全策略，提高安全风险应急能力。

3、 软件资产的可视化

企业如果对开源组件/代码的使用情况、使用范围、来源、内部组成情况等不清晰，将失去对软件安全的“掌控能力”，在安全问题来临时变得被动，影响业务发展。因此，企业可利用网安云软件物料清单管理平台，对软件版本、类型、名称、供应商等基本信息、软件内部成分信息（包括但不限于：内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等）等进行梳理，降低企业软件资产的模糊性。

同时，在实际团队协作中，除了安全团队及成员需要了解之外，还需让其余系统开发成员也需也清晰了解组件安全态势。以便后续组件出现安全问题时，能及时调整修复，也可为后续安全开发提供帮助。安全团队也需要通过获取运营数据，了解⻛险的修复进度。网安云软件物料清单管理平台，拥有强大的数据分析能力 、多维数据可视化能力，可将抽象不具体的软件资产数字化，呈现可视的关系图表。让非安全专业用户也可以快速捕捉到软件存在的安全合规风险，及时解决问题掌握管理的主动权。

以上，就是本次推送的全部内容。如您对网安云软件物料清单管理平台感兴趣的话，可点击软件物料清单管理平台，领取试用。