日前，新思科技 (Synopsys, Nasdaq: SNPS)发布了《2021年开源安全和风险分析》报告（OSSRA）。该报告由新思科技网络安全研究中心（CyRC）制作，研究了由Black Duck审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势，并且提供了见解，以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。这份报告也详细地介绍了非托管开源所带来的安全隐患，包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

　　2021年 OSSRA报告强调，开源是所有行业绝大多数应用程序的基础；但同时，他们也在费尽心思去管理开源风险。

　　所有经过审计的营销科技类公司的代码库都包含开源，包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。

　　97％的金融服务/金融科技行业代码库包含开源，其中超过60％的代码库存在漏洞。

　　更令人担忧的是废弃开源组件仍在被广泛使用。高达91%的代码存在开源依赖项，这些开源组件在过去两年内没有任何开发活动——没有进行代码改进，也没有任何安全修复。

　　新思科技网络安全研究中心首席安全策略师Tim Mackey表示：“超过90%的代码库使用了在过去两年没有发生任何开发活动的开源组件，这不足为奇。与供应商能直接将信息推送给用户的商业软件不同，开源更需要社区参与才能蓬勃发展。如果没有社区参与，企业就将开源组件用于商业软件，项目活力很容易减弱。废弃项目不是新问题，但是当它们出现时，解决安全问题变得更加困难。解决方案很简单，投资那些利于业务成功的项目。”

　　新思科技软件应用安全解决方案工程师王永雷表示，许多基于前端页面组件的漏洞都可以实现远程攻击或操作。“随着网络及云化越来越普及，我们建议关注开源的风险，并且需要重视安全治理，否则很容易被攻击导致数据泄露等重大风险。”

　　商业软件中过时的开源组件已成常态。85% 的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同，这些过时的开源组件拥有活跃的开发人员，但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全隐患之外，使用过时的开源组件还可能带来技术上的麻烦，包括与将来更新相关的功能问题和兼容性问题。 “大家的眼睛只盯在头部组件，但还有大部分组件隐藏在冰山下面，比如包括我们提到的OpenSSL，它的漏洞是好多年后才被发现的。”王永雷说道。

　　开源漏洞趋势朝着错误的方向发展。2020年，包含存在漏洞的开源组件的代码库百分比为84%，较2019年上涨了9%。同样，包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞，并且所有这些漏洞的百分比均有显著增加。

　　超过90％经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。2020年审计的代码库中，65%包含存在许可证冲突的开源组件，通常涉及“GNU通用公共许可证”。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险，通常需要进行评估，尤其涉及到合并和收购交易的时候。

　　据王永雷介绍，目前新思科技提供了端到端的开源治理解决方案，首先是开源组件的识别功能，通过自动化的工具实现全场景扫描，识别和追踪应用程序及容器的开源组件，取代了以往手工填写所造成的不准确性。

　　其次，是保护功能模块，并不只是发现漏洞，而是给予修复建议，提供诸如哪个版本的组件更安全，或者更新后及时通知给客户。王永雷表示，新思的知识库（Knowledge Base）是每两周就更新一次，漏洞的发布频率是以小时来计的，可确保漏洞披露的及时性。

　　第三，是合规协助。针对开源的合规，比如GPL，描述文件就有几十页之多，一页页看下去会耽误大量时间，新思科技可以帮助用户进行解读，从而确保开源组件实现合规。

　　第四，是针对治理，王永雷提供了两种治理思路，一个是主动治理，另外则是被动治理。针对主动治理，相当于设计左移概念，也就是架构师从一开始就要考量安全漏洞问题，制定黑白名单。而被动治理则是要随时针对软件进行全生命周期监控。

　　“针对安全漏洞，一定要结合整个开发运维的过程将其集成起来，并且不是一蹴而就的，需要结合人、技术以及流程的安全意识统一。”王永雷总结道。

　　关键字：新思科技引用地址：开源软件在安全、许可证合规性和维护等仍存在大量漏洞

　　多年来，Synopsys 一直在使用 AI 来推动电子设计自动化 (EDA) 软件的发展，使今天的半导体成为可能。 在许多公司因更广泛的经济状况而摇摇欲坠的时刻——当芯片行业面临较低的需求时——Synopsys 的数字在每个重要领域都在向好的方向发展。 最新业绩超出了之前的指引，公司的季度收入再创新高，营业利润率上升，每股收益上升，公司提高了年度收入指引。 这一切都证明了 Synopsys 十多年前推出的“智能一切”（Smart Everything ）战略的有力执行。 在财报电话会议之后，我有机会与首席执行官 Aart de Geus 和首席财务官 Shelagh Glaser 进行了交谈，以了解 Synopsys

　　Synopsys日前公布了截至2015年2季度财报，公司营收为5.572亿美元，同比增长7.6%。非GAAP净利润为107.6亿美元，同比增长5%，GAAP净利润为5560万美元，同比下降12%。 Synopsys CEO Aart de Geus表示： 我们一季度强劲的营收增长，预示着我们今年全年业绩的稳定增长，由于客户正处于软件升级周期的早期，我们新的implementation和verification的产品需求显著，我们通过收购进入的软件质量及安全检测业务同样是增长迅速，包括既有市场及新的细分市场都有所增长，为Synopsys建立了优势。

　　11月10日，全球最大的芯片设计自动化企业美国新思科技( Synopsys )区域总部宣布落户南京江北新区，预计今年底前完成企业注册。省委常委、市委书记张敬华会见新思科技中国董事长葛群一行。下面就随手机便携小编一起来了解一下相关内容吧。 新思科技是全球电子和芯片设计自动化的领导者、全球第一大 集成电路 接口类IP提供商，在软件质量和网络安全领域也占据世界领先地位。成立31年来，新思科技的技术一直深刻影响并推动着包括移动计算、智能汽车、物联网、人工智能、云计算和信息安全在内的科技创新和应用。 张敬华对项目落户表示欢迎和祝贺。他说，南京正在认真学习贯彻落实党的十九大精神，积极实施创新驱动发展战略，充分发挥科教和产业优势

　　新思科技解读2023年软件安全行业六大趋势 数字化转型如火如荼，负责网络安全和风险管理的团队也肩负起更多责任。同时，远程办公以及云上的数字业务运营也给带来了新威胁。 提升网络安全或者软件安全已经不再是单纯的技术挑战，自上而下的安全意识和文化也不可或缺。2023年，安全威胁形式依然复杂，软件供应链风险愈加受到关注。在数字经济时代，软件安全与客户信任及业务增长之间的关联度更高，因为软件风险已经等同于业务风险。新年伊始，新思科技与大家分享观察到的行业趋势，希望能够帮助企业推动数字化转型或者制定软件安全计划的时候，做出更加明智、有针对性的决策。 1. 企业开始投资安全预防控制措施 新思科技软件首席科学家Sammy Mi

　　面向汽车嵌入式软件、存储和物联网应用的新一代ARC-V处理器 摘要 ： 新思科技全新32位和64位ARC-V处理器IP建立在其数十年的处理器开发经验之上，为开发者提供更广泛的RISC-V IP选择空间； 经验证且成熟的新思科技MetaWare软件开发工具链能够帮助软件工程师基于新思科技ARC-V处理器IP高效开发高度优化的软件代码； Synopsys.ai全栈式AI驱动型EDA解决方案和Fusion快速入门设计实现套件（QIK）提升基于新思科技ARC-V处理器IP设计的生产率和结果质量（QoR）； 包括硬件辅助验证和虚拟原型在内的新思科技验证解决方案可加快验证、调试和软件开发周期。

　　重磅发布全新RISC-V处理器系列，进一步扩大ARC处理器IP组合 /

　　新思科技原生汽车解决方案使设计人员能够高效实现和验证功能安全机制，以达到安全关键型芯片的目标ASIL等级 新思科技差异化解决方案使设计人员能够避免定制脚本解决方案，并缩短运行时间、提高作业执行能力、结果质量和易用性 新思科技 （Synopsys, Inc.，纳斯达克股票代码：SNPS）近日推出全新原生汽车解决方案，以实现更高效的芯片设计。汽车技术的加速发展需要更多的汽车芯片来达到自动驾驶和高级驾驶辅助系统(ADAS)的更高汽车安全完整性等级(ASIL)。新思科技原生汽车设计解决方案通过提供业界最全面的功能集来实现功能安全机制（如三模冗余(TMR)、双核锁步(DCLS)和故障安全有限状态机(FSM)），使设计人员能够

　　推出原生汽车解决方案，高效实现自动驾驶和ADAS芯片设计 /

　　MOUNTAIN VIEW, Calif.,March 14, 2016 美国加利福尼亚州，山景城－2016年3月14日 Highlights: 亮点： TSMC 10-nm认证加速了IC Compiler II的发展 相比以往技术节点的认证，深入广泛合作使认证节约了大量时间 Galaxy Design Platform的Advanced Waveform Propagation技术使新技术节点可以支持使用超低电压的设计 新思科技（Synopsys, Inc.，纳斯达克股票代码：SNPS）日前宣布：TSMC已经按照Synopsys的IC Compiler II布局及 布线解决方案，完成了在其最先

　　新思科技《2019年度云安全报告》涵盖了2019年最普遍的云安全趋势，包括云安全顾虑、云合规挑战以及云部署的阻力。 随着企业面向云的数字化转型不断发展，企业需要进行相应的安全转型，以确保其对云的使用能够激发而非阻碍未来的创新。新思科技可以帮助企业扩展安全计划，助力企业在多云环境中保持安全与合规。 2019年已经过去大半，前几年的三大云安全趋势依然持续。事实上，这些趋势甚至有所增长。《2019年度云安全报告》由网络安全业内人士Cybersecurity Insiders撰写，旨在探讨IT安全和IT运营高层人员关于云安全的首要考虑因素。Cybersecurity Insiders是拥有40万名成员的信息安全社区。 《20

　　《2019年度云安全报告》:数据丢失和泄露成焦点 /

　　东芝1200V SIC SBD “TRSxxx120Hx系列” 助力工业电源设备高效

　　2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站， 火热报名中

　　Follow me第二季第4期来啦！与得捷一起解锁蓝牙/Wi-Fi板【Arduino Nano RP2040 Connect】超能力！

　　嵌入式工程师AI挑战营（进阶）：基于RV1106部署InsightFace算法，实现多人的实时人脸识别

　　艾睿电子技术解决方案展 2024 — 携手共建更智能绿色未来，火热报名中！

　　近年来，智能座舱在乘用车领域成为热门话题。智能座舱带来了更加智能化、舒适和安全的驾驶体验，吸引了众多消费者的关注。在商用车领域，市 ...

　　前言：随着汽车电动化的发展潮流，电动汽车销量节节攀升，市场研究机构Canalys总结2022年全球电动汽车市场时表示，2022年全球电动汽车销量 ...

　　众所周知，所有搭载发动机的车辆都必须满足国六排放法规。从2016年12月23日发布的《轻型汽车污染物及测量方法（中国第六阶段）》开始，到20 ...

　　根据对电动汽车的充电方式，充电桩可分为交流充电桩和直流充电桩两大类。直流充电桩具备直接给电池充电的能力，以三相四线制的方式连接电网 ...

　　自动驾驶汽车有哪些功能自动驾驶汽车拥有全球定位系统（GPS）、雷达、激光雷达、摄像头、超声波传感器等多种技术手段，能够实现以下功能：1 ...

　　站点相关：嵌入式处理器嵌入式操作系统开发相关FPGA/DSP总线与接口数据处理消费电子工业电子汽车电子其他技术存储技术综合资讯论坛电子百科