新思科技《2022 年开源安全和风险分析》 告分析解读第一篇——概述部分

       随着整个 会加速数字化、 络化、智能化，开源已经成为势不可挡的趋势，驱动云计算、大数据、人工智能等技术和产业的进步。而随着开源产业繁荣兴起，开源的安全问题也备受关注。

       今年4月，新思科技发布了《2022年开源安全和风险分析》 告（OSSRA）。该 告由新思科技 络安全研究中心（CyRC）制作，共调查了17个行业的2400多个商业代码库的匿名结果。 告共包含六个部分：简介；概述；开源漏洞与安全；许可；开源的维护；总结。下文将从以上六个部分出发，对2022与2021年度 告进行对比分析。

概述部分

年度回顾

表1 年度回顾指标对比表

术语变化

术语对比分析，2022年与2021年术语数量都为9个，术语内容有部分变化。2022年新增术语两个，分别是：Apache Log4j2漏洞  (BDSA-2021-3887, CVE-2021-44228，等) 、行政命令14028。减少术语两个，分别是二进制分析、静态分析。

术语具体情况。2022年 告中术语共有9个，分别是：代码库、Black Duck增强安全解决方案 (BDSA)、软件库、依赖项、开源许可证、物料清单、软件组成分析（SCA）、Apache Log4j2漏洞  (BDSA-2021-3887, CVE-2021-44228，等) 、行政命令14028。2021年 告中的术语有9个，分别是：代码库、二进制分析、Black Duck增强安全解决方案 (BDSA)、软件库、依赖项、开源许可证、物料清单、软件组成分析（SCA）、静态分析，见表2。

表2 年度术语变化表

2022年 告新增两个术语的分析。两个术语都为2021年度的热点问题。

首先是，Apache Log4j2漏洞，该漏洞由阿里云计算有限公司发现，并于2021年11月24日将漏洞情况告知阿帕奇软件基金会，2021年12月9日，中国工业和信息化部 络安全威胁和漏洞信息共享平台收到有关 络安全专业机构 告。Apache Log4j2漏洞存在严重安全问题，在国内外引起极大的重视，也成为热点问题进行广泛的讨论，各个安全厂商也对此漏洞输出了各类解决方案。

其次是术语《关于改善国家 络安全》的第14028 行政命令(EO)，美国政府于2021年5月12日发布该行政命令，命令第四部分明确要求美国联邦政府加强软件供应链安全管控，其内容占整个命令的25%。国家标准与技术研究所(NIST)于2021年6月25日 发布了《(行政命令14028下的“关键软件”定义)》，并于2021年7月9日发布了《 (“EO关键软件”使用的安全措施)》，体现了国家层面上对于软件供应链安全的重视程度逐渐加深。

各行业开源情况

概述部分的各行业开源情况的对比。2022年与2021年 告的相同点：选取了相同的17个行业；不同点：分析指标的不同，2022年采用的指标为包含开源的代码库的占比，2021年的指标为开源软件在代码库中的占比。 

开源无处不在。从2022年 告中可以看出，所调研的17个行业包含开源的代码库占比均达到了90%以上，其中，计算机硬件及半导体、 络安全、能源与清洁科技、物联 占比最高，达到了100%，占比最低的医疗保健，健康科技和生命科学行业也达到了93%。