开源安全与合规防范指南

 业界流传这样一句话，“软件吞噬世界，开源吞噬软件”。开源软件在促进全球的软件创新方面发挥着越来越重要的作用。但同时，其安全与合规风险问题也在日益显现。

一、开源组件安全与合规风险

1、开源组件安全漏洞增加

根据Synopsys发布的《2023开源安全和风险分析》报告显示：84%的代码库中包含至少一个已知开源漏洞，比2022年版的OSSRA报告增加了近4%。是由于错误编码、安全审查不足或其他原因导致开源项目存在安全漏洞，攻击者可利用这些漏洞执行恶意代码，进行敏感数据窃取或入侵攻击等。

2、  大量开源代码缺乏长期维护

Synopsys审查的1481个含安全风险的代码库中 ，91%存在过去两年内未进行任何功能升级、代码改进和安全问题修复的开源代码。可见，开源代码缺乏更新维护，对开源项目安全性影响有多大。

3、依赖关系存在较大的安全隐患

一个程序通常间接或直接依赖于数千个软件库，开源代码可能比闭源代码依赖关系更多，来源于更多的供应商。Endor Labs 2022年的一份报告显示，存在95%的易受攻击依赖项都是可传递的，且这些依赖项大多深藏于软件供应链中，难以直接触及。

4、未经授权进行代码修改

恶意用户未经授权修改开源代码，引入后门或其他安全风险，进行非法信息访问、窃取或恶意攻击。

5、  开源合规性问题

开源组件开发者是在特定的开源协议下，以“既定的方式”允许公众学习、使用、修改该软件。源代码的利用虽然按开源许可证进行，但开源许可证众多，所以不同的许可证还会有着不同的知识产权保护要求。在企业日常经营活动中，如果未重视开源软件合规管理，将使企业面临巨大的潜在法律风险。

二、如何应对开源组件安全风险？

推荐使用开源组件安全及合规管理平台（SourceCheck），高效识别第三方开源组件安全风险及合规风险，定位风险影响范围，预警新漏洞，助力企业实现漏洞的快速修复和软件资产的全面管理。

1、深层组件检测能力

支持开源组件安全风险、合规风险的检出及组件依赖关系、组件完整性的分析

2、亿级知识库数据

数亿开源组件版本数据；支持 CNNVD、CNVD等权威漏洞数据库；支持数千种开源许可协议的检出

3、新漏洞实时预警

支持0day漏洞的实时预警、实时查看风险的影响范围；支持以站内信、邮件等方式及时收取风险预警信息

4、高效软件资产管理

支持组件、许可、漏洞多维度数据分析；支持多级别的资产数据可视化及报告分析

5、高效便捷即买即用

以SaaS方式为客户提供服务，无须本地部署，不占用IT资源，无须投入专职运维人员，即买即用。

6、极致的性价比

平台提供灵活的计费模式，客户只需支付较少的费用，即可获得优质的服务，性价比高。

免费试用：开源组件安全及合规管理平台-SCA-软件成分分析-开源风险治理-开源网安-网安云 (wanyun.cn)