开源许可证冲突和漏洞风险有所下降,但88%的被审代码库中包含未更新开源组件
开源安全问题仍然充满挑战,比如供应链攻击、黑客利用Docker镜像的攻击等。2021年底,被广泛采用的Apache Log4j程序中新发现的零日漏洞。这个被称为Log4Shell (CVE-2021-44228) 的Log4j漏洞允许攻击者在受影响的服务器上执行任意代码。随后,企业和政府机构被迫重新审视如何使用和保护主要由无偿志愿者创建和维护的开源软件。该漏洞的发现还暴露了许多企业根本不知道其软件中使用了多少开源代码的问题。需要注意的是,产生业务风险的并不是开源软件本身,而是对开源软件的不当管理。
新思科技(Synopsys, Nasdaq: SNPS) 近日发布了《2022年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心 (CyRC) 编制,分析了由Black Duck®审计服务团队执行的对2,400多项商业和专有代码库的并购交易审计结果。该报告强调了在商业和专有应用程序中使用开源的趋势,并提供了见解,以帮助开发人员更好地了解他们所处的互联软件生态系统,同时还详细地介绍了非托管开源所带来的安全隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。
2022年OSSRA报告强调,开源组件在每个行业都被广泛使用,并且是当今所有应用程序的构建基础。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“使用软件组成分析(SCA)工具的用户已经将重点放在减少开源许可证冲突和解决高风险漏洞上。得益于此,我们今年可以看到许可证冲突问题和高风险漏洞数量已经减少。但是我们不能忽略,经过审计的代码库中有超过一半仍然存在许可证冲突,近一半包含高风险漏洞。更令人不安的是,88%被审代码库中包含过时版本的开源组件。而且往往这些组件有可用的更新版本或补丁,但没有被采用。”
Tim Mackey指出:“没有将软件升级到最新版本的理由有很多。但是,如果企业没有一份清单,准确列明其在代码使用的开源组件,那过时的组件可能就会被遗忘;直到变成一个易受攻击的高风险漏洞,企业才慌忙查找这个组件用在哪里,然后去进行更新。这正是Log4j面临的情况。这也是软件供应链和软件物料清单(software Bill of Materials, SBOM)成为当下行业热点的原因。”
下载2022年OSSRA报告。
好文章,需要你的鼓励
IDC数据显示,Arm架构服务器出货量预计2025年将增长70%,但仅占全球总出货量的21.1%,远低于Arm公司年底达到50%市场份额的目标。大规模机架配置系统如英伟达DGX GB200 NVL72等AI处理设备推动了Arm服务器需求。2025年第一季度全球服务器市场达到创纪录的952亿美元,同比增长134.1%。IDC将全年预测上调至3660亿美元,增长44.6%。配备GPU的AI服务器预计增长46.7%,占市场价值近半。
保加利亚研究团队通过创新的双语训练方法,成功让AI模型学会了在非英语环境下使用外部工具。他们开发的TUCAN模型在保加利亚语功能调用任务上实现了显著提升,小模型改进幅度达28.75%。更重要的是,团队开源了完整的方法论,为全球多语言AI工具使用能力的发展提供了可复制的解决方案。
AI正在重塑创业公司的构建方式,这是自云计算出现以来最重大的变革。January Ventures联合创始人Jennifer Neundorfer将在TechCrunch All Stage活动中分享AI时代的新规则,涵盖从创意验证、产品开发到团队架构和市场策略的各个方面。作为专注于B2B早期投资的风投合伙人,她将为各阶段创业者提供关键洞察。
清华大学团队开发了首个能同时理解街景、卫星图、轨迹和地理数据的城市AI系统UrbanLLaVA。通过创新的三阶段训练法和多模态融合技术,该系统在十二项城市任务测试中显著超越现有方法,为智慧城市、导航服务、城市规划等领域带来突破性进展,代码已开源。