通过对超过1,500个商业代码库进行分析,发现开源安全、许可证合规性和维护问题依然很普遍
相比闭源的软件,开源的优势显而易见,但是对开源风险的关注却远远不够。无论是政府机构还是相关企业都在积极推动开源治理。比如,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院于2020年正式发布了业内首个《开源生态白皮书(2020)》。新思科技为该白皮书的发布做出了积极的贡献,集合Black Duck的深厚的行业经验和深度的积累,为开源项目提供深度的探测组件能力,推动行业和用户意识到开源组件依赖的合规和安全风险远比想象的要高。
新思科技 (Synopsys, Nasdaq: SNPS)近日发布了《2021年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck®审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势,并且提供了见解,以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。这份报告也详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。
2021年 OSSRA报告强调,开源是所有行业绝大多数应用程序的基础;但同时,他们也在费尽心思去管理开源风险。
更令人担忧的是废弃开源组件仍在被广泛使用。高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“超过90%的代码库使用了在过去两年没有发生任何开发活动的开源组件,这不足为奇。与供应商能直接将信息推送给用户的商业软件不同,开源更需要社区参与才能蓬勃发展。如果没有社区参与,企业就将开源组件用于商业软件,项目活力很容易减弱。废弃项目不是新问题,但是当它们出现时,解决安全问题变得更加困难。解决方案很简单,投资那些利于业务成功的项目。”
2021年OSSRA报告中提及的其它开源风险包括:
好文章,需要你的鼓励
尽管谷歌AlphaFold在2021年带来突破,但医药AI发展正面临数据瓶颈。在BIO 2025大会上,业界领袖指出,AI在蛋白质领域成功源于丰富的历史数据,而临床试验等领域数据稀缺成为主要挑战。医药公司正将AI应用于研发全链条,从靶点识别到临床试验优化,但需要专业团队和数据支撑。行业合作模式也在转变,从服务供应商关系转向深度合作伙伴关系。专家提醒,AI应用需平衡速度与质量,确保程序的严谨性。
哈尔滨工业大学团队开发的Optimus-3是首个在Minecraft环境中具备完整认知能力的AI系统,能够同时处理感知、规划、行动、定位和反思五大任务。该系统采用专家混合架构和任务级路由机制,有效解决了多任务学习中的干扰问题,并通过多模态推理增强强化学习显著提升了视觉相关任务的表现。实验结果显示,Optimus-3在各项任务上均超越了现有最先进系统,为通用人工智能的发展提供了重要技术路径。
随着AI快速重塑商业格局,企业领导者被迫重新审视人性化管理的价值。长期以来,管理者专注于数据优化和效率提升,却忽视了信任、创造力、同理心等人文要素。AI的发展并非威胁人性,而是提供了重新平衡的机会。混合智能结合人工智能与人类智慧,创造出更可持续、创新和可信的结果。领导者需要培养双重素养:既要理解AI技术能力,更要深刻认识人性化管理的独特价值,从而打造真正服务于人类福祉的组织。
香港科技大学团队提出PosterCraft统一框架,通过四阶段训练流程实现高质量美学海报端到端生成。该方法摒弃传统模块化设计,采用整体性创作思路,在文字准确性和视觉美感方面显著超越现有开源模型,接近商业系统水平,为AI创意设计领域带来重要突破。