《国家互联网应急中心:2021开源软件供应链安全风险研究报告(25页).pdf》由会员分享,可在线阅读,更多相关《国家互联网应急中心:2021开源软件供应链安全风险研究报告(25页).pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、2020 年, 根据 Synopsys 发布的开源安全和风险分析报告显示,开源使用数量占比较高, 在教育、金融、医疗等传统行业渗透率已超过 60%,开源软件已成为企 业构建信息技术的重要选择。 国家政策上,2021 年 3 月 12 日,开源首次被明确列入中华人民 共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲 要,支持数字技术开源社区等创新联合体发展,完善开源知识产权 和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。 开源蓬勃发展一方面可以突破技术壁垒、推动创新,另一方面考 虑到国际竞争关系错综复杂,开源软件安全作为软件供应链安全的重 要环节,面临着安全漏洞、知识
2、产权、软件供应链安全等相关风险。 在此背景下,认识和了解开源安全风险情况是至关重要的。 国家互联网应急中心联合棱镜七彩开源安全研究团队持续对开源 软件供应链安全进行跟踪分析。2019 年开源软件风险研究报告主 要从GitHub热门开源软件视角出发, 对开源软件安全风险进行了分析。 本报告从全新视角带来开源安全风险新的发现与突破。报告共分为五 部分,第一部分,首先介绍开源漏洞的发展现状及趋势;第二部分, 聚焦开源组件生态库的安全风险;第三部分,重点围绕组件按依赖层 级漏洞传播范围分析;第四部分,对文件级漏洞潜在安全风险及波及 范围进行讨论;第五部分,对开源使用者和关注者如何在开源领域蓬 勃发展下,更安全的拥抱开源生态提出了建设性意见。