在現今快節奏的商業世界中，軟體團隊已採用敏捷開發實務 (例如 DevOps )，以跟上業務需求。這些作法對開發人員造成很大的壓力，必須更快速地建立和部署應用程式。為了在較短的軟體發行週期內成功達成目標，開發人員經常使用開放原始碼軟體元件。開放原始碼軟體 (OSS) 可以自由散佈，因此非常符合成本效益。許多開發人員都會從 OSS 開始，然後加以調整以符合他們的需求，從中獲益良多。由於程式碼是開放的，所以只需要修改程式碼，就能加入他們想要的功能。

Q: 開放原始碼會有安全風險嗎？

這不是秘密... 開發人員使用開放原始碼軟體。不過，如何管理仍是個問題，這也是有原因的。原因如下：開放原始碼元件並不一樣。有些從一開始就很脆弱，有些則會隨著時間而變壞。使用方式變得更加複雜。隨著數百億次的下載，管理程式庫和直接依賴關係變得越來越困難。Transitive dependencies：如果您使用 Maven (Java)、Bower (JavaScript)、Bundler (Ruby) 等依賴管理工具，那麼您就會自動拉入第三方依賴 - 這是您無法負擔的責任。一般公司每年下載 300,000+ 個開放原始碼元件 2018 年，在數十億次的開放原始碼元件釋出下載中，每 10 個開放原始碼元件就有 1 個存在已知的安全漏洞 (10.3%)。51% 下載的 JavaScript 套件包含已知的安全漏洞。自 2014 年以來，經證實或懷疑與開放原始碼相關的外洩事件增加了 71%

概述

開放原始碼安全，通常稱為軟體組成分析 (SCA)，是一種讓使用者更清楚瞭解其應用程式的開放原始碼庫存的方法。這是透過二進位指紋檢驗元件、利用專業的專屬研究、將精確掃描與專屬情報相對應，以及直接在開發人員最喜歡的工具中向他們證明這些情報來實現的。

何謂開放原始碼？

開放原始碼是指任何軟體的原始碼都可以存取，任何人都可以自由修改和分享。原始碼是使用者看不到的軟體部分；程式設計師可以透過建立和編輯原始碼來改變軟體的運作方式。透過存取程式的原始碼，開發人員或程式設計師可以增加軟體的功能或修正無法正確運作的部分，以改善軟體。

為何使用開放原始碼軟體？

在現今快節奏的商業世界中，軟體團隊已採用敏捷開發實務 (例如DevOps)，以跟上業務需求。這些作法對開發人員造成很大的壓力，必須更快速地建立和部署應用程式。為了在較短的軟體發行週期內成功達成目標，開發人員經常使用開放原始碼軟體元件。開放原始碼軟體 (OSS) 可以自由散佈，因此非常符合成本效益。許多開發人員都會從 OSS 開始，然後加以調整以符合他們的需求，從中獲益良多。由於程式碼是開放的，所以只需要修改程式碼，就能加入他們想要的功能。

開放原始碼會有安全風險嗎？

這不是秘密... 開發人員使用開放原始碼軟體。

不過，如何管理仍是個問題，這也是有原因的。

原因如下：

開放原始碼元件並不一樣。有些從一開始就很脆弱，有些則會隨著時間而變壞。
使用方式變得更加複雜。隨著數百億次的下載，管理程式庫和直接依賴關係變得越來越困難。
Transitive dependencies：如果您使用 Maven (Java)、Bower (JavaScript)、Bundler (Ruby) 等依賴管理工具，那麼您會自動拉入第三方依賴 - 這是您無法負擔的責任。
一般公司每年下載 300,000+ 個開放原始碼元件
2018 年，在數十億次的開放原始碼元件釋出下載中，每 10 個開放原始碼元件就有 1 個存在已知的安全漏洞 (10.3%)。
51% 下載的 JavaScript 套件包含已知的安全漏洞。
自 2014 年以來，經證實或懷疑與開放原始碼相關的外洩事件增加了 71%

如何識別軟體中的開放原始碼漏洞？

企業不僅需要保護他們所寫的程式碼，也需要保護他們從開放原始碼元件所消耗的程式碼。這就是為什麼許多組織都在使用 Sonatype 在整個SDLC 中大規模自動化開放原始碼治理，將安全性轉移到開發和建置階段。

透過OpenText™ Cybersecurity Cloud和Sonatype，探索自訂程式碼和開放原始碼安全性的最佳整合式解決方案。精確的開放原始碼智慧可在單一掃描中 360 度檢視自訂程式碼與開放原始碼元件的應用程式安全問題。您可以在單一掃描及儀表板中執行開放原始碼及自訂程式碼漏洞的搜尋。

Fortify 也透過Debricked提供開放原始碼的智慧與安全性，使用最先進的機器學習，以獲得更快速、更精確的結果。Debricked 是一套雲端原生軟體組成分析解決方案，開發人員想要使用，進而提高生產力。此解決方案採用整體性方法，與 DevOps 生命週期無縫整合，以主動管理軟體供應鏈風險。