2025-12-22 03:51:19 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Synopsys2024年开源安全和风险分析报告揭示了开源软件供应链中的严重安全问题。报告发现91%的代码库包含落后最新版本10个或更多的组件，2022至2023年间高风险漏洞增加了54%。96%的代码库包含开源代码，77%的源代码来自开源，53%存在许可证冲突，84%存在安全漏洞，74%有高风险漏洞。报告强调了保持开源组件更新的重要性，以及使用软件物料清单(SBOM)管理软件供应链的必要性。CWE-707是Top10漏洞中8个的共同根源，主要涉及输入净化问题。 综合评分： 85 文章分类： 漏洞分析,应用安全,供应链安全,数据安全,安全建设

cover_image

解读 | Synopsys发布2024年开源安全和风险分析报告OSSRA

原创

筑梦网安

全栈安全

2024年7月1日 07:13 浙江

“

软件供应链管理中，许可证和安全合规性至关重要。开源组件和库可降低风险，但需了解许可证内容。Synopsys 2024年审计发现，超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证，但也与其他许可证存在不兼容风险。

来源：Synopysy 2024 开源安全和风险分析报告

若想了解更多报告细节，可以参阅报告原文，共计18页：

报告名称：Synopysy 2024 开源安全和风险分析报告.pdf

下载链接：https://url25.ctfile.com/f/1848625-1036646086-922d05?p=6277

访问密码：6277

1. 一些关键发现

1.1. 绝大多数开源软件使用者并没有更新他们使用的组件

2022至2023年间，高风险漏洞增加了54%（26个百分点），造成这种情况的原因可能不止一个。例如，有可能是经济衰退和随之而来的裁员导致用于寻找和修补漏洞的人员数量减少。此外，审查发现，91%的代码库包含了比最新版本落后10个或更多版本的组件，由此可以得出一个简单的结论：绝大多数开源软件使用者并没有更新他们使用的组件。

来源：Synopysy 2024 开源安全和风险分析报告

1.2. Top 10 的漏洞中，有8个都可以映射到同个CWE

CWE-707是CWE 20、79、80、97、937的支柱。CWE-707涉及从上游组件读取数据或发送数据到下游组件之前，没有满足安全需求。不能正确地净化输入可能会带来跨站脚本(XSS) 和SQL注入等漏洞利用攻击。

“

CWE项目将“支柱缺陷”定义为最高级别的缺陷，是与之相关的所有类别/变体缺陷的基础。如果想深入理解CWE，可以参阅博主文章《通用缺陷枚举CWE详解》

来源：Synopysy 2024 开源安全和风险分析报告

1.3. 其他关键数据

在扫描的 1,000 多个代码库中，有 96% 的代码仓包含开源代码
77% 的源代码和文件来自开源
53% 的代码库存在开源许可证冲突
84% 的代码库在安全风险评估中发现了漏洞；74% 有高风险漏洞
91% 的代码库中包含比最新版本落后 10 个或更多版本的组件

2. 为什么开源软件供应链安全如此重要？

开源软件供应链安全是指确保开源软件在开发、分发和使用过程中的安全性。随着开源软件的广泛使用，开源软件供应链安全变得越来越重要。如果开源软件供应链存在安全漏洞，可能会导致严重的安全风险，例如数据泄露、系统崩溃等。因此，保护开源软件供应链的安全性对于确保软件供应链的安全性和可靠性至关重要。

3. 为什么开发者需要保持开源组件的持续更新？

使用商业软件的组织都知道，他们的软件会被自动“推送”补丁和更新，或者至少会收到供应商的通知，告诉他们有更新可以下载（通常是非常重要的更新）。但这种情况在开源软件中很少出现，开源软件的使用者需要自己关注组件的状态，自己去下载可用的新版本。

过时的开源组件可能包含已知漏洞，这些漏洞可能会被攻击者利用。此外，过时的开源组件可能不再得到维护，这意味着开发者无法获得安全更新和补丁。因此，开发者需要定期更新和维护其使用的开源组件，以确保其应用程序的安全性和可靠性。

4. 为什么软件供应链管理需要软件物料清单 (SBOM) ？

SBOM 是一份详细的清单，列出了软件中使用的所有组件、依赖项和许可证信息。通过使用 SBOM，组织可以更好地了解其软件中的组件来源、许可证合规性和安全漏洞，从而更好地管理其软件供应链。此外，SBOM 还可以帮助组织遵守法规要求，例如美国国家标准与技术研究院 (NIST) 的软件供应链安全指南。

“

美国第14028号行政命令 (EO) “提升国家网络安全”规定，软件供应商必须直接向采购方提供SBOM，或者在公共网站上公开其SBOM，并且政府和非政府方面可能都需要查看SBOM，以确保软件产品符合SBOM的最低要求。

Black Duck审计团队发现，在2023年审计的代码库中，超过一半 (53%) 包含存在许可证冲突的开源软件。下图为常用的Top 10开源软件许可，关于开源软件许可证的详情介绍可参阅博主文章《如何正确看待开源软件？开源软件六大认知误区你都知道么？》。

来源：Synopysy 2024 开源安全和风险分析报告

“

在美国及其他国家，创造性的工作（包括软件）默认会受版权的保护。未经创作者授权，任何人对该软件的使用、复制、分发或修改均不合法。即使最友好的开源许可证(如MIT、BSD)也会规定用户在使用软件时需要承担的义务。如果代码库中包含的开源代码许可证与该代码库的总体许可证存在冲突，就可能存在潜在的许可证风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式详见页面底部说明板块。

本文转载自：全栈安全筑梦网安《解读 | Synopsys发布2024年开源安全和风险分析报告OSSRA》