当前位置:首页 > 工业控制 > 新思科技(Synopsys)
[导读]访问全球1,500名IT专业人员,40%表示为解决开源漏洞而拖慢了交付计划

开源已经逐渐成为新一代软件开发模式,能有效推动产品快速迭代。但是开源风险的问题比较复杂,包括知识产权及合规风险,还有安全漏洞等,而且完善的开源治理体系还尚未构建起来。值得庆幸的是,现在有一些安全测试工具可以降低开源使用的风险。

新思科技发布《2020年DevSecOps实践和开源管理报告》

新思科技(Synopsys, Inc.,Nasdaq: SNPS)宣布发布《2020年DevSecOps实践和开源管理报告》。该报告由新思科技网络安全研究中心(CyRC)总结制作,采访了1,500名从事网络安全、软件开发、软件工程和Web开发的IT专业人员。该报告探讨了全球企业用于解决开源漏洞管理的策略以及日益严重的商业代码中过时或弃用的开源组件问题。

开源在当今的软件生态系统中扮演着至关重要的角色。绝大多数现代代码库都包含开源组件,开源通常占整个代码的70%或更多。然而,开源使用增长的同时,不受管理的开源带来的安全风险日益严重。实际上,《2020年开源安全和风险分析》报告(OSSRA)指出经过新思科技审计的代码库中,75%包含具有已知安全漏洞的开源组件。为了应对这种情况,受访者在审查新的开源代码组件时将识别已知的安全漏洞作为首要标准。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“很明显,未修补的漏洞是造成开发人员困扰以及最终导致业务风险的主要原因。《2020年DevSecOps实践和开源管理报告》强调了企业如何竭力有效地追踪和管理其开源风险。”

Tim Mackey接着说:“超过一半(51%)的受访者表示他们需要两至三周的时间来应用开源补丁,这可能与以下的情况有关系,仅仅38%的受访者使用自动的软件组件分析(SCA)工具来确定使用了哪些开源组件以及何时发布更新。其余的组织可能采用手动的操作流程来管理开源,这些可能会拖慢开发和运营团队的速度,迫使他们在平均每天发布数十个新的安全披露的环境下来追赶安全。”

《2020年DevSecOps实践和开源管理报告》中值得注意的其他要点包括:

· DevSecOps在全球范围内迅速增长。总计63%的受访者表示他们正在将一些DevSecOps活动融入其软件开发计划中。

· 应用程序安全测试(AST)工具没有被普遍采用。从受访者对调查问卷的回答可以看出,其实并不缺乏应用程序安全测试的工具和技术。然而,即使使用率很高的AST工具也只有不到一半的受访者在使用。

· 媒体在开源风险管理中发挥着重要的作用。46%的受访者指出,媒体报道促使他们对开源使用情况实行更加严格的管控。

· 47%的受访者根据他们所使用的开源组件的时间来定义标准。开源社区中一个日益严重的问题是项目的可持续性。新思科技2020 OSSRA报告显示,在2019年被审计的代码库中,91%的代码库包含的组件已经过期四年以上或过去两年中没有开发活动。部署过期的代码会增加安全风险,包括开源组件被劫持的风险。如2018年发生的一个事件:event-stream组件被注入恶意代码,目的是窃取Copay钱包中的比特币。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

业内消息,近日芯片设计软件制造商Synopsys表示,将通过价值350亿美元的现金加股票交易收购EDA厂商Ansys 。该交易完成的话将是自芯片制造商博通以来科技领域最大的收购案,博通去年以690亿美元的交易收购了软件制...

关键字: 新思科技 Synopsys 收购 EDA Ansys

该AI驱动型数据分析解决方案能够挖掘未开发的、具有可操作的洞察,以提高芯片设计、制造、测试和现场部署的效率  摘要:  全面的AI驱动型数据分析解决方案可整合并利用IC设计、测试和制造流程中...

关键字: EDA SYNOPSYS 大数据分析 新思科技

(全球TMT2023年8月24日讯)新思科技(Synopsys, Inc.)宣布已经完成对PikeTec GmbH的收购。PikeTec是汽车控制单元系统软件测试和验证解决方案的领导者之一。软件定义汽车(SDVs)的出...

关键字: 新思科技 TE PI SYNOPSYS

加利福尼亚州桑尼维尔2023年8月30日 /美通社/ -- 新思科技(Synopsys, Inc.,纳斯达克股票代码:SNPS)近日宣布,已经完成对汽车控制单元软件测试和验证解决方案领导者PikeTec GmbH的收购。...

关键字: 自动驾驶 新思科技 TE PI

(全球TMT2023年7月28日讯)新思科技(Synopsys, Inc.)近日宣布,其搭载了Synopsys.ai全栈式AI驱动型EDA解决方案的数字和定制设计流程已经通过英特尔代工服务(IFS)的Intel 16制...

关键字: EDA Intel 新思科技 IP

基于台积公司N3E工艺的广泛IP组合能够助力AI、移动和HPC 等新兴领域实现业界领先的功耗、性能和面积(PPA) 要点:  基于台积公司N3E工艺技术的新思科技IP能够为希望降低集成风险并...

关键字: 芯片设计 新思科技 IP BSP

新思科技业界领先的EDA和IP全方位解决方案与Arm全面计算解决方案强强结合,助力生态系统应对多裸晶芯片系统设计挑战

关键字: ARM SoC 新思科技

开源可以有助于降低成本和提高开发效率,但是开源从来不等于免费。如果企业对开源使用管理不当,造成经济和声誉损失的风险极高。企业需要制定开源战略并落实安全计划,采用可信的开源管理工具,支持整个软件开发生命周期的开源治理。

关键字: 新思科技 开源软件 云计算

软件驱动世界,软件开发的要求越来越高。为了按时交付软件,开发和运维工作必须紧密协作,DevOps应运而生。此外,随着安全的重要性日益凸显,DevSecOps 成为很多企业的安全策略。当然,并不会有一个开关,可以将 Dev...

关键字: 新思科技 软件 DevOps 自动化

中国正在把发展经济的着力点放在实体经济上,加快建设网络强国、数字中国。同时,数字经济与各种产业叠加,赋予数字化力量,可以提升实体经济的产业优势,促进产业迈向高质量。对此,新思科技强调,数字赋能,安全先行。把安全贯穿在数字...

关键字: 新思科技 软件安全
关闭
关闭