開發者在享受開源軟體的便利時應該注意兩點：合規性以及安全性。未按照開源許可證約定使用開源元件會引發潛在的法律糾紛。另外，開源軟體可能存在安全漏洞。開發者在使用開源元件的時候需要注意漏洞的識別，也應採取相應的程式碼安全審計。

美國新思科技公司 (Synopsys, Nasdaq: SNPS)近日釋出了《2018 年開原始碼安全和風險分析》（OSSRA）報告。該報告分析了2017年經過審計的1,100多個商業程式碼庫中的匿名資料，研究的行業包括汽車、大資料、網路安全、企業軟體、金融服務、 醫療保健、物聯網（IoT）、製造業和移動應用市場。該報告的審計資料由黑鴨子軟體公司（Black Duck Software）收集和整合。新思科技已於2017年12月完成對黑鴨子軟體公司的收購。

 

該報告突出顯示了開原始碼的使用量持續大幅增長，其中96%被掃描應用中存在開源元件。資料還顯示在每個程式碼庫中平均有 257個開源元件，比2017年的報告資料增長了75%。現在許多應用中包含的開原始碼多於專有程式碼。令人擔憂的是，78%  被檢查的程式碼庫中至少包含一個漏洞，每個程式碼庫平均包含 64個漏洞。這些程式碼庫的漏洞中，超過 54%  被認為屬於高風險漏洞。17%的程式碼庫包含某種 常見漏洞，如 Heartbleed、Logjam、 Freak、Drown和 Poodle。

黑鴨子軟體公司技術專員Tim Mackey表示：“現在的軟體和基礎設施在很大程度上依賴開源技術，對使用的元件有一個清晰的認知是企業管理的關鍵。報告清楚地表明隨著開原始碼使用量的增長，企業必須確保他們擁有能夠在開源元件中檢測漏洞的工具，並且管理使用開原始碼過程中可能需要的任何許可證合規性。”

在每個行業的應用中都發現了存在漏洞的開源元件。網際網路和軟體基礎設施垂直行業的應用存在高風險開源漏洞的比例最高，為67%。比較諷刺的是，網路安全行業仍然被發現存在很高比例的高風險開源漏洞，高達41 %，導致該垂直行業處於風險第四高的位置。

除此之外， 被審計程式碼庫中發現包含 Apache Struts（用於建立 Web 應用的開源框架），而在這之中，有 33%含有導致 Equifax 入侵事件的Struts 漏洞。報告明確指出越來越多的漏洞在企業程式碼庫中積累。平均而言，審計中發現的漏洞大約在 6 年前已經被披露。

黑鴨子軟體公司負責OSSRA報告的產品市場經理

調查結果顯示， 74%  被審計程式碼庫中包含存在許可證衝突的元件，其中最常見的是 GPL （GNU通用公共許可證）許可證違規。存在許可證衝突的應用在各個行業分佈情況不盡相同：零售和電子商務行業為61%，而在電信和無線行業則很高 —— 100％ 被掃描程式碼都存在某種形式的開源許可衝突。

下載OSSRA報告，請點選：https://www.synopsys.com/content/dam/synopsys/china/software-integrity/reports/2018-ossra-sc.pdf