Submitted by phuocnm on Mon, 08/17/2020 - 18:56

Kiểm tra nguồn mở đào sâu vào cơ sở mã để xem những gì bên trong. Tìm hiểu những gì nhóm dịch vụ kiểm toán của chúng tôi đã khai thác trong hơn 1.250 cơ sở mã mà chúng tôi đã xem xét vào năm 2019.

Dữ liệu kiểm toán nguồn mở: Những gì chúng tôi tìm thấy trong 1.250 cơ sở mã

Bản chất của việc sử dụng mã nguồn mở làm cho nó khó theo dõi. Mã nguồn mở trong cơ sở mã thường là kết quả từ các quyết định chung của các nhà phát triển cá nhân. Một nhà phát triển phải đối mặt với lỗ hổng về chức năng có thể đưa ra một “mảnh ghép” về Internet - một thành phần nguồn mở, một đoạn mã - phù hợp. Kết quả: Một câu đố được hoàn thành trong thời gian ngắn hơn, ít nỗ lực hơn so với việc các nhà phát triển của bạn phải tạo từng mảnh từ đầu.

Nhưng một số nhà phát triển hiểu biết hơn những người khác về việc kiểm tra các thành phần mà họ sử dụng thay mặt cho công ty của họ. Và nếu không có hiệu đính thích hợp, các thành phần đó có thể nhúng các vấn đề về chất lượng, bảo mật và giấy phép vào dự án đã hoàn thành.

Theo dõi xu hướng sử dụng mã nguồn mở thông qua kiểm tra

Đó là một thách thức để theo dõi mã nguồn mở trong các công ty (mặc dù  phân tích thành phần phần mềm giúp công việc dễ quản lý hơn). Điều này thậm chí còn khó hơn ở cấp độ ngành. Nhưng hiểu rõ xu hướng nguồn mở trong toàn ngành   là điều cần thiết để tạo ra các phương pháp hay nhất giúp tổ chức phát triển của bạn luôn dẫn đầu cuộc chơi.

Vậy làm thế nào chúng ta có thể có được bức tranh toàn cảnh về những gì đang diễn ra trong ngành? Thông qua dữ liệu tổng hợp từ  các cuộc kiểm toán phần mềm nguồn mở . Trong kiểm toán mã nguồn mở, nhóm kiểm toán cần mở một cơ sở mã để xem những gì bên trong. Kết quả của một cuộc kiểm toán hầu như luôn gây ngạc nhiên. Và khi chúng tôi kết hợp dữ liệu từ hàng nghìn cuộc kiểm toán, chúng tôi thấy các mô hình rõ ràng trong việc sử dụng mã nguồn mở mà mọi tổ chức phát triển cần lưu ý.

Kết hợp dữ liệu của hàng nghìn lần kiểm tra phần mềm cho thấy các mẫu rõ ràng

Ý nghĩa của dữ liệu kiểm toán nguồn mở của chúng tôi

Nhóm Dịch vụ Kiểm toán Vịt Đen của tôi phân tích nhiều mã nguồn mở hơn bất kỳ ai trên thế giới, trên tất cả các ngành và công nghệ. Thông qua bạo lực, trong bốn năm qua, chúng tôi đã đào sâu vào cơ sở mã và tổng hợp dữ liệu ẩn danh về thành phần mã, vấn đề pháp lý, vấn đề bảo mật và các yếu tố hoạt động khác. Gần đây, khi làm việc với Trung tâm Nghiên cứu An ninh Mạng Synopsys (CyRC), chúng tôi đã xuất bản báo cáo Phân tích Rủi ro và Bảo mật Nguồn Mở năm 2020 của mình  , một báo cáo tuyệt vời dành cho bất kỳ ai trong phần mềm.

Dưới đây là một số điểm nổi bật về những gì chúng tôi tìm thấy trên hơn 1.250 cơ sở mã mà chúng tôi đã xem xét trong các cuộc kiểm toán mã nguồn mở vào năm 2019. Nhưng bạn thực sự nên tải xuống báo cáo để biết thêm chi tiết và đột phá theo ngành. Bạn cũng có thể muốn xem mã nguồn mở của chúng tôi trong hội thảo trên web về M&A , trong đó tôi đưa các kết quả vào bối cảnh M&A. “Phil thực sự biết công cụ của mình,” một người tham gia nhận xét ở cuối. Nhưng đó là một lời khen cho người đưa tin. Thực tế là Synopsys biết công cụ của nó khi nói đến mã nguồn mở.

70% mã trong các cơ sở mã chúng tôi đã kiểm tra vào năm 2019 là mã nguồn mở

Thành phần phần mềm

  • Hầu như mọi cơ sở mã được xem xét trong cuộc kiểm tra năm ngoái (99%) đều bao gồm một số mã nguồn mở.
  • Hầu hết mã trong các cơ sở mã này, 70%, là mã nguồn mở.
  • Cơ sở mã trung bình chứa khoảng 445 thành phần mã nguồn mở.

Rủi ro giấy phép

  • 73% cơ sở mã có ít nhất một vấn đề giấy phép.
  • 67% cơ sở mã chứa các thành phần có xung đột giấy phép, thường xuyên nhất là xung đột GNU GPL .

Rủi ro bảo mật

  • 75% cơ sở mã được kiểm tra chứa các thành phần mã nguồn mở với các lỗ hổng chưa được vá.
  • Tỷ lệ cơ sở mã có chứa lỗ hổng bảo mật rủi ro cao đã tăng lên 49% vào năm 2019.

- Bản dịch bài đăng của  vào Thứ Tư, ngày 24 tháng 6 năm 2020 tại synopsys.com -