Snyk和Linux基金会发布开源安全状况报告

开源安全状况凸显了许多组织缺乏策略来解决由代码重用引起的应用程序漏洞

波士顿——2022 年 6 月 21 日——开发人员安全领域的领导者 Snyk 和通过开源推动创新的全球性非营利组织 Linux 基金会今天宣布了他们第一份联合研究报告——开源安全状况（The State of Open Source Security）^[1]——的结果。

结果详细说明了现代应用程序开发中，广泛使用开源软件所带来的重大安全风险，以及目前有多少组织没有做好有效管理这些风险的准备。具体而言，报告发现：

• 十家有超过四家（41%）的组织对他们的开源软件安全性没有很高的信心；
• 一般的应用开发项目有 49 个漏洞，80 个直接依赖（一个项目调用的开源代码）；而且，
• 修复开源项目漏洞所需的时间稳步增加，从 2018 年的 49 天增加到 2021 年的 110 天，增加了一倍多。

“如今，软件开发人员拥有自己的供应链——他们不是组装汽车零件，而是通过用自己独特的代码将现有的开源组件拼凑在一起来组装代码。虽然这提高了生产力和创新，但也带来了严重的安全问题。”Snyk 开发人员关系总监 Matt Jarvis 说：“这份首个同类报告发现了广泛的证据，表明业界对当今开源安全的状况过于天真。与 Linux 基金会一起，我们计划利用这些发现来进一步教育和装备世界各地的开发人员，使他们能够继续快速构建，同时保持安全。”

“虽然开源软件无疑提高了开发人员的效率，加速了创新，但现代应用程序的组装方式也增加了保护它们的难度。”OpenSSF（开源安全基金会）总经理 Brian Behlendorf 表示：“这项研究清楚地表明，风险是真实存在的，行业必须更加紧密地合作，以摆脱糟糕的开源或软件供应链安全实践。”（可参阅OpenSSF 关于该报告^[2]的博文）

Snyk 和 Linux 基金会将在即将举行的一系列活动中，讨论该报告的全部发现，以及改进开源软件开发安全性的建议措施：

• 在德克萨斯州奥斯汀举行的北美开源峰会上，主题为“应对开源软件的网络安全挑战^[3]”的会议将于当地时间（CT）6 月 21 日星期二中午 12 点举行。
• 网上研讨会将于美国东部时间 6 月 28 日星期二下午 1 点举行，注册请访问此处^[4]。
• 网上研讨会将于美国东部时间 6 月 29 日星期三上午 9 点举行，注册请访问此处^[5]。

请点击以下链接下载完整开源安全状况报告：
https://training.linuxfoundation.cn/downloads/00b6786a7ea7f4f39d7683b30905240c
参考资料