在当今快节奏的商业世界中，软件团队采用了 DevOps 等敏捷开发实践，以跟上业务需求。这些做法给开发人员带来了很大的压力，要求他们更快地构建和部署应用程序。为了在较短的软件发布周期内成功实现目标，开发人员经常使用开源软件组件。开放源码软件（OSS）是免费发布的，因此成本效益非常高。许多开发人员从开放源码软件入手，然后根据自己的需要对其进行调整，从而从中受益。由于代码是开放的，因此只需对其进行修改，即可添加他们想要的功能。

Q: 开放源代码是否存在安全风险？

开发人员使用开源软件已不是秘密。不过，人们对如何管理它仍有疑问，这是有道理的。原因就在这里：开放源码组件并不都是一样的。有些从一开始就很脆弱，而有些则会随着时间的推移而变坏。使用变得更加复杂。由于下载量高达数百亿次，管理库和直接依赖关系变得越来越困难。Transitive dependencies：如果您使用 Maven（Java）、Bower（JavaScript）、Bundler（Ruby）等依赖关系管理工具，那么您就会自动拉入第三方依赖关系--这是您无法承受的责任。平均每家公司每年下载 30 多万个开源组件 2018 年，在数十亿次开源组件发布下载中，每 10 个开源组件中就有 1 个存在已知安全漏洞（10.3% ）。51% 下载的 JavaScript 软件包包含已知的安全漏洞。71% 自 2014 年以来，经证实或疑似与开源相关的违规行为有所增加

概述

开源安全通常被称为软件构成分析 (SCA)，是一种让用户更好地了解其应用程序的开源库存的方法。具体做法是通过二进制指纹检查组件，利用专业策划的专有研究，将精确扫描与专有情报相匹配，以及直接在开发人员最喜欢的工具中向他们证明这些情报。

什么是开放源代码？

开放源代码是指任何人都可以自由修改和共享的、可访问源代码的任何软件。源代码是用户看不到的软件部分；程序员可以通过创建和编辑源代码来改变软件的运行方式。通过访问程序的源代码，开发人员或程序员可以改进软件，为其添加功能或修复不能正常工作的部分。

为什么使用开源软件？

在当今快节奏的商业世界中，软件团队采用了DevOps等敏捷开发实践，以跟上业务需求。这些做法给开发人员带来了很大的压力，要求他们更快地构建和部署应用程序。为了在较短的软件发布周期内成功实现目标，开发人员经常使用开源软件组件。开放源码软件（OSS）是免费发布的，因此成本效益非常高。许多开发人员从开放源码软件入手，然后根据自己的需要对其进行调整，从而从中受益。由于代码是开放的，因此只需对其进行修改，即可添加他们想要的功能。

开放源代码是否存在安全风险？

开发人员使用开源软件已不是秘密。

不过，人们对如何管理它仍有疑问，这是有道理的。

原因就在这里：

开放源码组件并不都是一样的。有些从一开始就很脆弱，而有些则会随着时间的推移而变坏。
使用变得更加复杂。由于下载量高达数百亿次，管理库和直接依赖关系变得越来越困难。
Transitive dependencies：如果您正在使用 Maven（Java）、Bower（JavaScript）、Bundler（Ruby）等依赖关系管理工具，那么您就会自动拉入第三方依赖关系，这是您无法承受的责任。
平均每家公司每年下载 300,000+ 个开源组件
2018 年，在数十亿次开源组件发布下载中，每 10 个开源组件中就有 1 个存在已知安全漏洞（10.3% ）。
51% 下载的 JavaScript 软件包包含已知的安全漏洞。
71% 自 2014 年以来，经证实或疑似与开源相关的违规行为有所增加

如何识别软件中的开源漏洞？

企业不仅需要保护自己编写的代码，还需要保护从开源组件中获取的代码。这就是为什么许多企业都在使用 Sonatype 在整个SDLC 中大规模实现开源治理自动化，将安全问题转移到开发和构建阶段。

了解OpenText™ Cybersecurity Cloud和Sonatype 为定制代码和开放源代码安全提供的同类最佳集成解决方案。精确的开源智能可通过一次扫描，360 度全方位了解定制代码和开源组件中的应用程序安全问题。您可以在单个扫描和仪表板中执行开放源代码和自定义代码漏洞搜索。

Fortify 还通过Debricked提供开源智能和安全服务，利用最先进的机器学习技术实现更快、更精确的结果。Debricked 是一个云原生软件组成分析解决方案，开发人员希望使用它，进而提高工作效率。该解决方案采用整体方法，与 DevOps 生命周期无缝集成，可主动管理软件供应链风险。

Resources

Threat detection and response