开源已经逐渐成为新一代的软件开发模型，它可以有效地促进产品的快速迭代。

但是，开源风险的问题更加复杂，包括知识产权和合规风险以及安全漏洞，并且尚未建立完整的开源治理系统。

幸运的是，现在有一些安全测试工具可以降低开放源代码使用的风险。

Synopsys（Synopsys，Inc.，纳斯达克市场代码：SNPS）宣布发布了“ 2020 DevSecOps实践和开源管理报告”。

该报告由Synopsys网络安全研究中心（CyRC）总结和制作，并采访了1500名从事网络安全，软件开发，软件工程和Web开发的IT专业人员。

该报告探讨了全球公司用于解决开源漏洞管理以及商业代码中过时或过时的开源组件过时问题的战略。

开源在当今的软件生态系统中起着至关重要的作用。

大多数现代代码库都包含开源组件，并且开源通常占整个代码的70％或更多。

但是，随着开放源代码使用的增长，不受管理的开放源代码带来的安全风险变得越来越严重。

实际上，“ 2020开放源代码安全性和风险分析”已被广泛使用。

报告（OSSRA）指出，经Synopsys审核的代码库中有75％包含具有已知安全漏洞的开源组件。

为了应对这种情况，受访者在检查新的开源代码组件时将已知的安全漏洞作为主要标准。

Synopsys网络安全研究中心首席安全策略师Tim Mackey表示：``很明显，未修补的漏洞是造成开发人员麻烦以及最终导致业务风险的主要原因。

“ 2020 DevSecOps实践和开源管理报告”强调了如何有效跟踪和管理其开源风险。

蒂姆·麦基（Tim Mackey）继续说：“超过一半（51％）的受访者表示，他们需要两到三周的时间来应用开源补丁，这可能与以下情​​况有关：只有38％的受访者使用自动化软件组件分析（SCA）确定使用哪些开源组件以及何时发布更新的工具。

组织的其余部分可能会使用手动流程来管理开源，这可能会减慢开发速度，并且运营团队的速度迫使他们在每天平均发布数十个新安全披露的环境中追赶安全。

;在“ 2020 DevSecOps实践和开放源代码管理报告”中需要注意的其他要点是：包括：·全球范围内快速发展的DevSecOps。

总计63％的受访者表示，他们正在将一些DevSecOps活动纳入其软件开发计划中。

·应用程序安全测试（AST）工具未被普遍采用。

从受访者对问卷的答复中可以看出，不缺乏用于应用程序安全性测试的工具和技术。

但是，即使是使用率很高的AST工具，也只有不到一半的受访者使用。

·媒体在开源风险管理中起着重要作用。

46％的受访者指出，媒体报道促使他们对开放源代码的使用实施更严格的控制。

·47％的受访者根据使用开源组件的时间定义了标准。

开源社区中一个日益严重的问题是项目的可持续性。

新思科技2020 OSSRA报告显示，在2019年审核的代码库中，有91％的代码库包含已过期四年以上或在过去两年中没有开发活动的组件。

部署过时的代码会增加安全风险，包括劫持开源组件的风险。

例如，2018年发生了一起事件：事件流组件注入了恶意代码，目的是窃取Copay钱包中的比特币。