隨著AI應用日趨廣泛,商業應用軟體將成為導入AI的先驅,因此商用軟體的安全性將面臨更大的挑戰,根據Synopsys 2023年《開源安全與風險分析》(OSSRA)報告,96%的商業程式碼包含開源程式碼。不幸的是,如同2023 OSSRA中指出的,Black Duck Audit Services檢查的程式碼庫中,84%包含至少一個已知的開源漏洞,48%包含高風險漏洞,幾乎所有(91%)包含過時版本的開源元件(參考下圖)。
為了管理開源軟體安全,使用軟體物料清單(SBOM)可以讓您了解應用程式的「成分」,並將這些資訊標準化。美國聯邦政府行政命令EO 14028也針對SBOM內容進行一些要求,如必須包含組件名稱、供應商名稱、軟體版本和其他唯一識別碼。
使用軟體組合分析(SCA)工具,可以自動執行生成SBOM,還能在您的軟體中識別、評估和減輕與所使用的開源組件相關的安全和許可風險。
而保持軟體持續更新,能確保您的軟體中使用的開源元件和其他第三方元件,具有最新的安全修補程式和錯誤修復,因此有效的管理開源軟體,可確保您開發和使用的軟體安全、無漏洞且符合授權規範。