什麼是開源安全？

開源安全，通常稱為軟體組合分析 （SCA），是一種讓使用者更好地瞭解其應用程式的開源清單的方法。這是通過二進位指紋檢查元件，利用專業策劃和專有研究，將準確的掃描與專有智慧相匹配，以及直接在他們最喜歡的工具中向開發人員證明這種智慧來完成的。

什麼是開源？

開源是指任何具有可訪問原始程式碼的軟體，任何人都可以自由修改和共用。原始碼是使用者看不到的軟體部分;它是程式師可以創建和編輯的代碼，以改變軟體的工作方式。通過訪問程式的原始程式碼，開發人員或程式師可以通過向軟體添加功能或修復並不總是正常工作的部分來改進軟體。

---

為什麼要使用開源軟體？

在當今快節奏的商業世界中，軟體團隊採用了敏捷開發實踐，如DevOps，以跟上業務需求。這些做法給開發人員帶來了很大的壓力，要求他們更快地構建和部署應用程式。為了在較短的軟體發佈週期內成功實現其目標，開發人員經常使用開源軟體元件。開源軟體 （OSS） 是免費分發的，因此非常具有成本效益。許多開發人員從OSS開始，然後對其進行調整以滿足他們的需求，從而受益匪淺。由於代碼是開放的，因此只需修改它以添加他們想要的功能即可。

---

開源是否存在安全風險？

這已經不是什麼秘密了......開發人員使用開源軟體。

儘管如此，關於如何管理它仍然存在問題——這是有充分理由的。

原因如下：

• 開源元件不是生而平等的。有些從一開始就很脆弱，而另一些則隨著時間的推移而變質。
• 使用變得更加複雜。隨著數百億的下載量，管理庫和直接依賴關係變得越來越困難。
• 傳遞依賴關係：如果您使用的是 Maven （Java）、Bower （JavaScript）、Bundler （Ruby） 等依賴關係管理工具，那麼您就會自動引入第三方依賴關係——這是您無法承受的負擔。
• 平均每年有 300,000+ 個開源元件被公司下載
• 2018年，在數十億次開源元件發佈下載中，每10個開源元件中就有1個存在已知安全漏洞 （10.3%）。
• 51% 的 JavaScript 包下載包含已知的安全漏洞。
• 自 2014 年以來，已確認或疑似開源相關違規行為增加了 71%

---

如何識別軟體中的開源漏洞？

企業不僅需要保護他們編寫的代碼，還需要保護他們從開原始件中使用的代碼。這就是為什麼許多組織都使用 Sonatype 在整個 SDLC 中大規模自動化開源治理，從而將安全性轉移到開發和構建階段。

使用OpenText™ Cybersecurity Cloud和Sonatype探索用於自訂程式碼和開源程式碼安全的一流整合解決方案。精確的開源情報可在一次掃描中提供跨自訂程式碼和開源元件的應用程式安全問題的 360 度視圖。您可以在單次掃描和儀表板中搜尋開源和自訂程式碼漏洞。

Fortify 也透過Debricked使用最先進的機器學習提供開源智慧和安全性，以獲得更快、更精確的結果。 Debricked 是一種雲端原生軟體組合分析解決方案，開發人員希望使用它，從而提高生產力。此解決方案採用整體方法，無縫整合到 DevOps 生命週期中，以主動管理軟體供應鏈風險。