报告：91 % 的商业 App 包含过时或废弃开源组件

Synopsys 公司发布了 2020 年开源安全和风险分析（OSSRA）报告，该报告由 Synopsys 网络安全研究中心（CyRC）制作，研究了由黑鸭审计服务团队进行的 1,250 多次商业代码库审计的结果。重点介绍了商业应用程序中开源使用的趋势和模式，并提供了见解和建议，以帮助组织从安全性，许可证合规性和运营角度更好地管理开源风险。该报告重申了开源在当今软件生态系统中的关键作用，揭示了过去一年中几乎所有（99％）的经审核代码库均至少包含一个开源组件，其中开源代码占总体代码的70％。然而更值得注意的是，老化或废弃的开源组件的继续广泛使用，其中 91％ 的代码库包含的组件已经过时四年以上，或者在过去两年中没有开发活动。此外，更令人担忧的则是不受管理的开放源代码带来的日益严重的安全风险的趋势。经过审计的代码库中有 75％ 包含具有已知安全漏洞的开源组件；同时，几乎一半（49％）的代码库包含高风险漏洞；两者比例