新思科技公司发布的《2019年开源安全和风险分析》(OSSRA)报告指出开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。近年来,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。JDA软件集团便采用了新思科技的Black Duck软件组成分析解决方案管理开源安全和许可证风险。
JDA 软件集团年收入超过10亿美元,提供端到端集成性零售、全渠道和供应链计划与执行解决方案,在全球拥有4,000多家活跃客户。30年来,JDA深厚的行业与技术积累帮助客户减少成本,提高收益并且提高企业协同性,帮助客户能够始终按照对顾客的承诺进行交付。
与许多从事构建软件业务的企业一样,JDA的100多个应用程序产品中包含了定制代码库以及商业和开源组件。包括Forrester和Gartner在内的分析师指出,超过90%的IT企业使用开源软件来处理关键任务,而且某些应用程序的构成有90%是开源组件。
尽管开源软件中的漏洞数量少于专有软件,但仅在2018年就发现了7,000多个开源漏洞。在过去的二十年中,已经涌现出超过50,000个漏洞。在2018年由Synopsys Black Duck Audit Services团队审查的代码库中,有60%包含至少一个开源漏洞。超过40%的组件包含高风险漏洞,而68%的组件包含许可证冲突。
从许可证合规性的角度来看,开源许可证是最受欢迎的许可证之一。但无论是开源许可证还是一次性许可证,除非企业意识到使用特定开源组件的权利、义务和限制,否则他们不能确保是否履行这些义务。从理论上讲,不合规的企业可能会失去其专有代码的权利,或被质疑其IP所有权。
