近日,SAS发布了相当哀怨呼吁企业限制他们使用开源项目的数量到有些武断百分比。这似乎是一个相当明显的企图,以抗议在市场开放的源R编程语言,用于数据的科学分析,其中SAS一直占主导地位的上升。但隐藏在咆哮好点:使用开源负责任意味着知道你使用的是什么,所以你可以跟踪和维护它。
大多数企业都没有意识到,他们可能会暴露给多少开源软件的开发者使用什么漏洞。你不能做你不知道你是依靠开源项目的安全评估和补丁管理。
Sonatype的的2016软件供应链研究发现第三方组件包括代码的80%至90%的典型企业Java应用程序 - 一个在这些组件企业下载有安全漏洞的十六岁。旧组件有三倍多的安全漏洞的新版本,并通过在企业应用中使用的组件的一半是超过两年。在心脏出血漏洞漏洞被发现后两年,超过OpenSSL的版本思科安全研究在2015年测试的一半仍然脆弱。
在2014年,Veracode的发现在企业Web应用程序使用的开放源代码和第三方组件引入平均24个已知的漏洞到每个扫描它的5000个应用。
“即使软件公司已经知道他们正在使用开放源代码可能需要工具来管理更好。企业很少知道他们使用了多少开源“,CEO和开源的监测和管理服务的联合创始人拉米萨斯,WhiteSource告诉CIO.com。“企业如银行,金融服务公司,媒体公司拥有大型的软件工程部门这些天。他们常常惊讶地发现,他们使用开源是如何广泛的,他们的人工库存过程一直跟踪小如何。平均而言,他们发现的三个组成部分的次数,他们认为他们有。有时是高达10倍。”
This isn’t to say that you don't want your developers to take advantage of open source, especially if you’re moving towards DevOps, because there are so many useful tools available in areas where writing your own code doesn’t do anything to differentiate you from your competitors. “Using open source in business makes sense, because you want your developers to stay focused on your core business,” Sass says. “So much of what you need has already been invented; you want to reuse something that’s already been tested and that’s maintained by the community, so that you don’t have to do all the heavy lifting. That’s why everyone loves open source — but unfortunately, open source has its own issues.”
开源许可证负债
在过去,企业往往最关心的是开放源代码的授权方。“开源是免费的,但它带有附加了很多串,”萨斯指出。开源许可可以为商业机构一个雷区。虽然越来越多的项目使用许可牌照,如MIT和Apache许可证,其中有关于代码如何被重新分配的最低要求,其他许可证有更繁重的要求。谷歌最近在它如何使用开源的指导包括许可证上的音符,像AGPL,是取缔因为要求在内部发布衍生作品的代码。