组织没有有效处理开源安全威胁

黑鸭每年进行数百个开源代码审核,主要与合并相关&收购交易。它的开源研究中心&创新(COSRI)分析了2016年审计的1,071份应用,发现高水平的开源使用率 - 96%的应用程序包含开源 - 开源安全漏洞的大量风险 - 超过60%的应用程序包含开源安全漏洞的应用程序。

开源安全威胁

值得注意的是,金融业申请申请申请载于每申请52个开源漏洞,60%的申请包含高风险漏洞。零售和电子商务行业具有高风险开放源漏洞的应用最高,83%的审计应用程序含有高风险漏洞。

开源许可冲突普遍存在。审核应用程序平均包含147个开源组件 - 令令人生行的许可证义务,以跟踪 - 事实上,85%的审计应用程序包含许可冲突的组件。最常见的挑战是GPL许可违规行为,其中75%的申请载于GPL家族牌照,但这些申请中只有45%符合GPL义务。

“开源使用是普遍存在的全球,最近的研究报告显示,今天的应用程序中的80%至90%的代码是开源。这并不令人惊讶,因为开源在降低开发成本,加速创新和超快市场时都很有价值。我们的审计确认了普遍使用,但也显示出解决与开源安全漏洞和许可合规挑战有关的风险的令人不安的无效水平,“Black Duck Ceo Lou Shipley说。

开源安全威胁

Shipley表示,他预计开源审计发现将是安全高管的呼吸开放,因为应用层是黑客的主要目标。 “开源漏洞的利用是大多数公司拥有的最大的应用安全风险,”Shiley说。

“阅读本报告应该是一个叫醒服务。每个人都在使用许多开源,而且随着审计表明,很少有人在他们的应用中进行充足的工作检测,补救和监控开源漏洞,“黑鸭北爱尔兰的开放源安全研究组主任Chris Fearon表示是Cosri的安全研究手臂。 “对审计的COSRI分析清楚地表明,每个行业的组织都有很长的路要走,然后在他们有效地管理他们的开源之前。”

分享这个