Synopsys：2023年开源安全和风险分析（附下载地址）

欢迎阅读2023年第8版《开源安全和风险分析(OSSRA)报告》。今年的OSSRA提供了新思网络安全研究中心（CyRC）对商业软件中的开源安全性、合规性、许可和代码质量风险当前状态的年度深入研究。我们分享了这些调查研究结果，以帮助安全、法律、风险和开发团队更好地了解安全和许可证风险状况。新思科技网络安全研究中心(CyRC)为本报告提供了数据。该中心的任务是发布安全建议和调研报告，以帮助企业更好地开发和使用安全的高质量软件。
OSSRA年度报告代表CyRC从上一年数据中得出的结论。因此，我们的2023年报告显示的是2022年的数据。在2022年，CyRC对来自17个行业的超1,700个商业代码库的匿名调查结果进行了研究。我们的审计服务团队每年为客户审计数千个代码库，主要目的是识别并购(M&A)交易中一系列的软件风险。尽管2022年经济前景不明朗，科技领域的并购也相应放缓，但审计代码库的数量依然可观。
近20年来，新思科技Black Duck®软件组成分析(SCA)产品团队和CyRC审计服务团队一直在帮助世界各地的安全、开发和法律团队加强其项目的安全性和许可证合规。Black Duck SCA使企业能够识别和跟踪开源代码，并在其现
有的开发环境中集成自动化的开源实施策略。Black Duck审计通常在并购交易背景下进行，涵盖软件风险的方方面面。该审计还提供全面的、高度准确的软件物料清单(SBOM)，涵盖企业应用中的开源代码、第三方代码、Web服务和应用编程接口(API)。审计服务团队依靠Black Duck KnowledgeBase™知识库的数据识别潜在的许可证合规与安全风险。该知识库由CyRC创建、管理和多年积累，存储了来自2.8万多个开源代码仓库超610万个开源组件的数据。
无论您经营什么行业，或者您在企业安全和风险管理方面扮演什么角色，OSSRA持续强调，日益普及的开源软件推动着业务发展，同时也存在无法进行有效管理的困难。我们每年都在强调，开源软件是我们今天所依赖的每个应用程序的基础。因此，有效地识别、跟踪和管理开源代码对于成功的软件安全计划至关重要。本报告提供了关键的建议和洞察，以帮助开源软件的开发者和使用者更好地了解开源生态系统以及如何对其进行负责任的管理