软件供应链管理中，许可证和安全合规性至关重要。开源组件和库可降低风险，但需了解许可证内容。Synopsys 2023年审计发现，超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证，但也与其他许可证存在不兼容风险。点此获取报告原文（中文翻译版本，访问密码：6277）。

1. 一些关键发现

1.1. 绝大多数开源软件使用者并没有更新他们使用的组件

2022至2023年间，高风险漏洞增加了54%（26个百分点），造成这种情况的原因可能不止一个。例如，有可能是经济衰退和随之而来的裁员导致用于寻找和修补漏洞的人员数量减少。此外，审查发现，91%的代码库包含了比最新版本落后10个或更多版本的组件，由此
可以得出一个简单的结论：绝大多数开源软件使用者并没有更新他们使用的组件。

1.2. Top 10 的漏洞中，有8个都可以映射到同个CWE

CWE-707是CWE 20、79、80、97、937的支柱。CWE-707涉及从上游组件读取数据或发送数据到下游组件之前，没有满足安全需求。不能正确地净化输入可能会带来跨站脚本(XSS) 和SQL注入等漏洞利用攻击。

CWE项目将“支柱缺陷”定义为最高级别的缺陷，是与之相关的所有类别/变体缺陷的基础。如果想深入理解CWE，可以参阅博主文章《「 网络安全常用术语解读 」通用缺陷枚举CWE详解》

1.3. 其他关键数据

• 在扫描的1,000多个代码库中，有96%包含开源代码
• 77%的源代码和文件来自开源
• 53%的代码库存在开源许可证冲突
• 84%的代码库在安全风险评估中发现了漏洞；74%有高风险漏洞
• 91%的代码库中包含比最新版本落后10个或更多版本的组件

2. 为什么开源软件供应链安全如此重要？

开源软件供应链安全是指确保开源软件在开发、分发和使用过程中的安全性。随着开源软件的广泛使用，开源软件供应链安全变得越来越重要。如果开源软件供应链存在安全漏洞，可能会导致严重的安全风险，例如数据泄露、系统崩溃等。因此，保护开源软件供应链的安全性对于确保软件供应链的安全性和可靠性至关重要。

3. 为什么开发者需要保持开源组件的持续更新？

使用商业软件的组织都知道，他们的软件会被自动“推送”补丁和更新，或者至少会收到供应商的通知，告诉他们有更新可以下载（通常是非常重要的更新）。但这种情况在开源软件中很少出现，开源软件的使用者需要自己关注组件的状态，自己去下载可用的新版本。

过时的开源组件可能包含已知漏洞，这些漏洞可能会被攻击者利用。此外，过时的开源组件可能不再得到维护，这意味着开发者无法获得安全更新和补丁。因此，开发者需要定期更新和维护其使用的开源组件，以确保其应用程序的安全性和可靠性。

4. 为什么软件供应链管理需要软件物料清单 (SBOM) ？

SBOM 是一份详细的清单，列出了软件中使用的所有组件、依赖项和许可证信息。通过使用 SBOM，组织可以更好地了解其软件中的组件来源、许可证合规性和安全漏洞，从而更好地管理其软件供应链。此外，SBOM 还可以帮助组织遵守法规要求，例如美国国家标准与技术研究院 (NIST) 的软件供应链安全指南。

美国第14028号行政命令 (EO) “提升国家网络安全”规定，软件供应商必须直接向采购方提供SBOM，或者在公共网站上公开其SBOM，并且政府和非政府方面可能都需要查看SBOM，以确保软件产品符合SBOM的最低要求。

Black Duck审计团队发现，在2023年审计的代码库中，超过一半 (53%) 包含存在许可证冲突的开源软件。下图为常用的Top 10开源软件许可，关于开源软件许可证的详情介绍可参阅博主文章《带你正确认识开源软件》。

在美国及其他国家，创造性的工作（包括软件）默认会受版权的保护。未经创作者授权，任何人对该软件的使用、复制、分发或修改均不合法。即使最友好的开源许可证(如MIT、BSD)也会规定用户在使用软件时需要承担的义务。如果代码库中包含的开源代码许可证与该代码库的总体许可证存在冲突，就可能存在潜在的许可证风险。

5. 参考

[1] Synopsys 2024年开源安全和风险分析报告（访问密码：6277）

---