新闻中心

新思科技（Synopsys, Inc.，Nasdaq: SNPS）宣布发布《2020年DevSecOps实践和开源管理报告》。该报告由新思科技网络安全研究中心（CyRC）总结制作，采访了1,500名从事网络安全、软件开发、软件工程和Web开发的IT专业人员。该报告探讨了全球企业用于解决开源漏洞管理的策略以及日益严重的商业代码中过时或弃用的开源组件问题。

开源在当今的软件生态系统中扮演着至关重要的角色。绝大多数现代代码库都包含开源组件，开源通常占整个代码的70％或更多。然而，开源使用增长的同时，不受管理的开源带来的安全风险日益严重。实际上，《2020年开源安全和风险分析》报告（OSSRA）指出经过新思科技审计的代码库中，75%包含具有已知安全漏洞的开源组件。为了应对这种情况，受访者在审查新的开源代码组件时将识别已知的安全漏洞作为首要标准。

新思科技网络安全研究中心首席安全策略师Tim Mackey表示：“很明显，未修补的漏洞是造成开发人员困扰以及最终导致业务风险的主要原因。《2020年DevSecOps实践和开源管理报告》强调了企业如何竭力有效地追踪和管理其开源风险。”

Tim Mackey接着说：“超过一半（51%）的受访者表示他们需要两至三周的时间来应用开源补丁，这可能与以下的情况有关系，仅仅38%的受访者使用自动的软件组件分析（SCA）工具来确定使用了哪些开源组件以及何时发布更新。其余的组织可能采用手动的操作流程来管理开源，这些可能会拖慢开发和运营团队的速度，迫使他们在平均每天发布数十个新的安全披露的环境下来追赶安全。”

《2020年DevSecOps实践和开源管理报告》中值得注意的其他要点包括：

• DevSecOps在全球范围内迅速增长。总计63%的受访者表示他们正在将一些DevSecOps活动融入其软件开发计划中。
• 应用程序安全测试（AST）工具没有被普遍采用。从受访者对调查问卷的回答可以看出，其实并不缺乏应用程序安全测试的工具和技术。然而，即使使用率很高的AST工具也只有不到一半的受访者在使用。
• 媒体在开源风险管理中发挥着重要的作用。46%的受访者指出，媒体报道促使他们对开源使用情况实行更加严格的管控。
• 47%的受访者根据他们所使用的开源组件的时间来定义标准。开源社区中一个日益严重的问题是项目的可持续性。新思科技2020 OSSRA报告显示，在2019年被审计的代码库中，91%的代码库包含的组件已经过期四年以上或过去两年中没有开发活动。部署过期的代码会增加安全风险，包括开源组件被劫持的风险。如2018年发生的一个事件：event-stream组件被注入恶意代码，目的是窃取Copay钱包中的比特币。

下载《2020年DevSecOps实践和开源管理报告》，或者点击这里，了解更多开源安全与许可证合规信息。

新思科技软件质量与安全平台

新思科技(Synopsys)帮助研发人员构建安全、高质量的软件，降低风险的同时提升速度及生产力。新思科技是应用安全领域公认的佼佼者，提供静态分析、软件组件分析、动态分析解决方案，帮助研发团队更快地找到专有代码、开源组件及应用程序行为中的漏洞和缺陷，并修复它们。通过结合行业领先的工具、服务和专业知识，新思科技可以帮助企业优化DevSecOps和整个软件开发生命周期中的安全和质量。

更多信息，请访问 : https://www.synopsys.com/zh-cn/software-integrity.html

新思科技简介

Synopsys 公司（纳斯达克股票代码：SNPS）是众多创新型公司的 Silicon to Software™（“芯片到软件”）合作伙伴，这些公司致力于开发我们日常所依赖的电子产品和软件应用。作为全球第 15 大软件公司，Synopsys 长期以来一直是电子设计自动化（EDA）和半导体IP领域的全球领导者，并且在软件安全和质量解决方案方面也发挥着越来越大的领导作用。无论您是创建高级半导体的片上系统（SoC）设计人员，还是编写需要最高安全性和质量的应用程序的软件开发人员，Synopsys 都能够提供您所需要的解决方案，帮助您推出创新性的、高质量的、安全的产品。有关更多信息，请访问 https://www.synopsys.com/zh-cn.html。