开源安全分析商业应用中的开源安全状况-BlackDuckSoftware.PDF

开源安全分析 商业应用中的开源安全状况 Mike Pittenger, 安全战略副总裁 黑鸭按需定制业务对客户的软件进行审计，且通常是在并购情况下。一般而言，审计中包括 已上市多年的商业软件。 从法律角度讲，客户希望通过使用限制性许可证（例如 GPL 、LGPL）下的开源软件来确保 其软件不会遭受不必要的知识产权 (IP) 风险，或者避免不适当地报告所用的开源许可证。 而从安全角度讲，客户希望了解其软件的安全概况。虽然许多这些公司具有内部安全计划并 部署有安全测试工具，例如静态和动态分析，但这些工具无法有效地识别在常见开源组件中 天天都会发现的漏洞类型。更重要的是，如果客户不知道其在用的所有开源，他们便无法抵 御对这些组件中的已知漏洞的常见攻击。 这项研究涵盖了黑鸭按需定制从 2015 年 10 月至 2016 年 3 月的六个多月期间所核查的 200 多个应用。所测试的应用的寿命（例如代码库的时间）千差万别。所有提交代码供审计核查 的公司都实施过人工核查，且所有数据在黑鸭子软件分析之前都是匿名的。 您在使用开源，而且数量超乎您想象 每家公司都会使用开源。黑鸭子软件在我们为客户所分析的超过 95% 的应用中发现了它。其中原因很容易理解。开源可增添所需 的功能，同时降低开发成本并加快上市时间。