《2020年DevSecOps實踐和開源管理報告》發布

40％受訪者表示為解決開源漏洞而拖慢了交付計劃

飛象網訊 DevSecOps是在業界逐步普及的理念。從云計算到云原生，再到DevOps，每一次理念的轉變都可能意味著開發流程的迭代。而安全是重要的基石，無論如何變革，都不容忽視。在不影響安全的情況下保持速度，將安全功能融入各個階段。這種功能就是 DevSecOps。

新思科技（Synopsys, Inc.，Nasdaq: SNPS）宣布發布《2020年DevSecOps實踐和開源管理報告》。該報告由新思科技網絡安全研究中心（CyRC）總結制作，采訪了1,500名從事網絡安全、軟件開發、軟件工程和Web開發的IT專業人員。該報告探討了全球企業用于解決開源漏洞管理的策略以及日益嚴重的商業代碼中過時或棄用的開源組件問題。

開源在當今的軟件生態系統中扮演著至關重要的角色。絕大多數現代代碼庫都包含開源組件，開源通常占整個代碼的70％或更多。然而，開源使用增長的同時，不受管理的開源帶來的安全風險日益嚴重。實際上，《2020年開源安全和風險分析》報告（OSSRA）指出經過新思科技審計的代碼庫中，75%包含具有已知安全漏洞的開源組件。為了應對這種情況，受訪者在審查新的開源代碼組件時將識別已知的安全漏洞作為首要標準。

新思科技網絡安全研究中心首席安全策略師Tim Mackey表示：“很明顯，未修補的漏洞是造成開發人員困擾以及最終導致業務風險的主要原因。《2020年DevSecOps實踐和開源管理報告》強調了企業如何竭力有效地追蹤和管理其開源風險。”

Tim Mackey接著說：“超過一半（51%）的受訪者表示他們需要兩至三周的時間來應用開源補丁，這可能與以下的情況有關系，僅僅38%的受訪者使用自動的軟件組件分析（SCA）工具來確定使用了哪些開源組件以及何時發布更新。其余的組織可能采用手動的操作流程來管理開源，這些可能會拖慢開發和運營團隊的速度，迫使他們在平均每天發布數十個新的安全披露的環境下來追趕安全。”

《2020年DevSecOps實踐和開源管理報告》中值得注意的其他要點包括：

DevSecOps在全球范圍內迅速增長。總計63%的受訪者表示他們正在將一些DevSecOps活動融入其軟件開發計劃中。

應用程序安全測試（AST）工具沒有被普遍采用。從受訪者對調查問卷的回答可以看出，其實并不缺乏應用程序安全測試的工具和技術。然而，即使使用率很高的AST工具也只有不到一半的受訪者在使用。

媒體在開源風險管理中發揮著重要的作用。46%的受訪者指出，媒體報道促使他們對開源使用情況實行更加嚴格的管控。

47%的受訪者根據他們所使用的開源組件的時間來定義標準。開源社區中一個日益嚴重的問題是項目的可持續性。新思科技2020 OSSRA報告顯示，在2019年被審計的代碼庫中，91%的代碼庫包含的組件已經過期四年以上或過去兩年中沒有開發活動。部署過期的代碼會增加安全風險，包括開源組件被劫持的風險。如2018年發生的一個事件：event-stream組件被注入惡意代碼，目的是竊取Copay錢包中的比特幣。