什么是开源安全？

开源安全通常被称为软件构成分析（SCA），是一种为用户提供更好地了解其应用程序开源库存的方法。具体做法是通过二进制指纹检查组件，利用专业策划的专有研究，将精确扫描与专有情报相匹配，并直接在开发人员最喜欢的工具中向他们提供这些情报。

什么是开放源代码？

开放源代码是指任何人都可以自由修改和共享的、可访问源代码的任何软件。源代码是用户看不到的软件部分；程序员可以通过创建和编辑源代码来改变软件的运行方式。通过访问程序的源代码，开发人员或程序员可以通过添加软件功能或修复无法正常工作的部分来改进软件。

---

为什么使用开源软件？

在当今快节奏的商业世界中，软件团队采用了DevOps等敏捷开发实践，以跟上业务需求。这些实践给开发人员带来了很大的压力，要求他们更快地构建和部署应用程序。为了在较短的软件发布周期内成功实现目标，开发人员经常使用开源软件组件。开放源码软件（OSS）是免费发布的，因此成本效益非常高。许多开发人员从开放源码软件入手，然后根据自己的需要对其进行调整，从而从中获益。由于代码是开放的，因此只需对其进行修改，即可添加所需的功能。

---

开放源代码是否存在安全风险？

开发人员使用开源软件已不是秘密。

不过，人们对如何管理它仍有疑问，这是有道理的。

原因就在这里：

• 开放源码组件并不完全相同。有些从一开始就很脆弱，而有些则会随着时间的推移而变坏。
• 使用变得更加复杂。面对数以百亿计的下载量，管理库和直接依赖关系变得越来越困难。
• Transitive dependencies：如果您使用 Maven（Java）、Bower（JavaScript）、Bundler（Ruby）等依赖关系管理工具，那么您就会自动拉入第三方依赖关系--这是您无法承受的责任。
• 平均每家公司每年下载 300,000+ 个开源组件
• 2018 年，在数十亿次开源组件发布下载中，每 10 个开源组件中就有 1 个存在已知安全漏洞（10.3%）。
• 51% 的 JavaScript 软件包下载包含已知的安全漏洞。
• 自 2014 年以来，已确认或疑似与开源相关的漏洞增加了 71

---

如何识别软件中的开源漏洞？

企业不仅需要保护他们编写的代码，还需要保护他们从开源组件中消费的代码。这就是为什么许多企业都在使用 Sonatype 在整个SDLC 中大规模地自动进行开源治理，将安全性转移到开发和构建阶段。

了解同类最佳的定制代码和开放源代码安全集成解决方案，包括 OpenText™ Cybersecurity Cloud和Sonatype。精确的开放源代码智能可在一次扫描中 360 度全方位查看定制代码和开放源代码组件中的应用程序安全问题。您可以在单个扫描和仪表板中执行开放源代码和自定义代码漏洞搜索。

Fortify 此外，Debricked还通过最先进的机器学习技术提供开源智能和安全性，以获得更快、更精确的结果。Debricked 是开发人员希望使用的云原生软件组成分析解决方案，反过来也提高了工作效率。该解决方案采用整体方法，与 DevOps 生命周期无缝集成，可主动管理软件供应链风险。