ballbet安卓子公司
投资者关系 股票代码:603738
日前,新思科技 (Synopsys, Nasdaq: SNPS)发布了《2021年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,研究了由Black Duck审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势,并提供了见解,以帮企业和开源开发者更好地明白他们所处的互联软件ECO。这份报告也详细地介绍了非托管开源所带来的安全风险隐患,包括安全漏洞、过期或废弃的组件以及许可证合规性问题。
2021年 OSSRA报告强调,开源是所有行业绝大多数应用程序的基础;但同时,他们也在费尽心思去管理开源风险。
所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社会化媒体。其中95%的营销科技代码库存在开源漏洞。
97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
更令人担忧的是废弃开源组件仍在被普遍的使用。高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有一点开发活动——不进行代码改进,也没有一点安全修复。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“超过90%的代码库使用了在过去两年没发生任何开发活动的开源组件,这不足为奇。与供应商能直接将信息推送给用户的商业软件不同,开源更需要社区参与才能蒸蒸日上。假如没有社区参与,企业就将开源组件用于商业软件,项目活力很容易减弱。废弃项目不是新问题,但是当它们出现时,解决安全问题变得更困难。解决方案很简单,投资那些利于业务成功的项目。”
新思科技软件应用安全解决方案工程师王永雷表示,许多基于前端页面组件的漏洞都能轻松实现远程攻击或操作。“随网络及云化越来越普及,我们提议关注开源的风险,并且需要重视安全治理,否则非常容易被攻击导致数据泄露等重大风险。”
商业软件中过时的开源组件已成常态。85% 的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同,这些过时的开源组件拥有活跃的研发人员,但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全风险隐患之外,使用过时的开源组件还可能带来技术上的麻烦,包括与将来更新相关的功能问题和兼容性问题。 “大家的眼睛只盯在头部组件,但还有大部分组件隐藏在冰山下面,比如包括我们提到的OpenSSL,它的漏洞是好多年后才被发现的。”王永雷说道。
开源漏洞趋势朝着错误的方向发展。2020年,包含存在漏洞的开源组件的代码库百分比为84%,较2019年上涨了9%。同样,包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。
超过90%经审计的代码库含有许可证冲突、自定义许可证或就没有许可证的开源组件。2020年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险,常常要进行评估,尤其涉及到合并和收购交易的时候。
据王永雷介绍,目前新思科技提供了端到端的开源治理解决方案,首先是开源组件的识别功能,通过自动化的工具实现全场景扫描,识别和追踪应用程序及容器的开源组件,取代了以往手工填写所造成的不准确性。
其次,是保护功能模块,并不只是发现漏洞,而是给予修复建议,提供诸如哪个版本的组件更安全,或者更新后及时通知给客户。王永雷表示,新思的知识库(Knowledge Base)是每两周就更新一次,漏洞的发布频率是以小时来计的,可确保漏洞披露的及时性。
第三,是合规协助。针对开源的合规,比如GPL,描述文件就有几十页之多,一页页看下去会耽误大量时间,新思科技能够在一定程度上帮助用户进行解读,从而确保开源组件实现合规。
第四,是针对治理,王永雷提供了两种治理思路,一个是主动治理,另外则是被动治理。针对主动治理,相当于设计左移概念,也就是架构师从一开始就要考量安全漏洞问题,制定黑白名单。而被动治理则是要随时针对软件进行全生命周期监控。
“针对安全漏洞,一定要结合整个开发运维的过程将其集成起来,并且不是一蹴而就的,需要结合人、技术和流程的安全意识统一。”王永雷总结道。
随着软件构建慢慢的变复杂,测试软件所需的安全工具也在继续扩展。许多企业甚至采用了数十种测试工具和技术来识别软件漏洞。但您真正需要的是哪些?这取决于您正在开发的软件类型以及交付方式。 Gartner 最近发布了 《 2023 年应用安全测试关键能力报告》 ,面向五个常见特定用例解析哪些工具和技术更重要。 最大限度地提升企业应用安全 Gartner 将第一个用例定义为关注拥有大范围的应用和开发方法的企业的需求。因此,他们要一种全面的应用安全方法。换句话说,如果您的团队构建的软件不是企业本身的产品,而是业务的主要推动因素(比如,客户可借此访问产品或服务),则此用例适用。 软件供应链安全并不独立于应用安全,而是包含其
新思科技Virtualizer开发工具包支持在芯片上市之前18个月就进行软件开发,以及将测试从物理环境转移至虚拟环境 新思科技与英飞凌的合作侧重于面向汽车用户建模、软件开发和交付VDK 新思科技近日宣布携手英飞凌共同拓展汽车卓越中心,从而加速汽车电子系统的开发,并为英飞凌的第三代AURIX™微控制器系列交付新思科技Virtualizer™开发工具包(简称“VDK”)。 利用新思科技提供的虚拟原型开发技术(Virtual Prototyping),全方面提升智能汽车的设计、研发和测试的效率。该技术为汽车行业带来了全新的方法学,重新定义智能汽车的研发流程,大幅度的提高研发效率。新思科技面向英飞凌AURIX微控制器的VDK让
新思科技携手台积公司共同开发人工智能驱动的芯片设计流程以优化并提高生产力,推动光子集成电路领域的发展,并针对台积公司的2纳米工艺开发广泛的IP组合 摘要: 由Synopsys.ai™ EDA套件赋能可投产的数字和模拟设计流程能够针对台积公司N3/N3P和N2工艺,助力实现芯片设计成功,并加速模拟设计迁移。 新思科技物理验证解决方案已获得台积公司N3P和N2工艺技术认证 ,可加速全芯片物理签核。 新思科技3DIC Compiler和光子集成电路(PIC)解决方案与台积公司COUPE技术强强结合,在硅光子技术领域开展合作,能够进一步提升人工智能(AI)和多裸晶(Multi-Die)设计的系统性能。 新思科技针对台积
面向台积公司先进工艺加速下一代芯片创新 /
推出适用于IntelliJ集成开发环境的Code Sight标准版解决方案
独立的 IDE 插件使研发人员能够检测源代码和开源依赖项中的安全漏洞 随着数字化转型步伐加速,软件开发的速度也需要跟上。如果在编写代码的时候就能内置安全性,软件开发也将提速,安全性也会提升。 新思科技(Synopsys, Nasdaq: SNPS)近日已全面推出适用于 IntelliJ集成开发环境的 Code Sight™ 标准版解决方案。此前,新思科技已经推出可用于Visual Studio Code集成开发环境 (IDE)的Code Sight标准版,是Code Sight插件的独立版本,帮助研发人员在提交代码前就能快速查找和修复源代码、开源依赖项、基础架构即代码等文件中的安全缺陷。 添加对 Intelli
推出适用于IntelliJ集成开发环境的Code Sight标准版解决方案 /
全球第一大芯片自动化设计解决方案提供商及全球第一大芯片接口IP供应商、信息安全和软件质量的全球领导者Synopsys今日宣布与中国教育的领航企业安博教育集团强强联手,正式建立战略合作伙伴关系,双方将在集成电路专业人才教育培训、产学合作、行业交流、教育项目等领域深化交流,加强合作,努力打造中国集成电路专业人才培养生态体系,为中国集成电路产业高质量发展提供更专业高效、具备创造新兴事物的能力和实践经验的高品质人才资源。 Synopsys中国董事长兼全球副总裁葛群表示:“人才是加速科学技术创新的核心驱动力。中国集成电路产业进入跨越式发展阶段,大量需求造成优秀的专业人才成为紧缺资源。作为行业全球领军企业,Synopsys一直视产业需求为己任,将人才教育培训作为企业发
新思科技有限公司(Synopsys Inc.)日前宣布:英飞凌科技(西安)有限公司通过采用新思完整的、基于统一功率格式(UPF)的低功耗综合、物理实现和验证流程,完成了国内首款采用40nm工艺技术的3G智能手机基带处理器设计,并按照时间计划成功实现一次流片成功。 为了达到芯片设计目标,英飞凌确定了在设计过程中采用了Synopsys全套实施流程,包括Design Compiler编译器、ICC布局工具等,同时引入新思的知识产权(IP)和支持服务。同时,还结合了英飞凌在移动通信基带芯片领域里丰富的经验和工程师的创新能力。 以西安为核心开发的X-GOLD 626处理器成为了英飞凌新一代的3G基带处理器,它不仅仅具备极高的性
旗舰产品 Fusion Compiler助力客户实现超 500 次流片
新思科技旗舰产品 Fusion Compiler助力客户实现超 500 次流片,行业一马当先的优势逐步扩大 助力客户性能提升20%,功耗降低15%,面积缩小5% 摘要: •流片范围覆盖5G 移动、高性能计算、人工智能、超大规模数据中心等细分市场中40 纳米至 3 纳米设计。 •众多领先半导体公司利用新思科技Fusion Compiler紧密的生产部署,进一步实现行业竞争优势。 加利福尼亚州山景城,2021 年 12 月 3日 -- 新思科技(Synopsys, Inc.)宣布,自 2019 年 Fusion Compiler™ RTL-to-GDSII 解决方案正式对外发布以来,采用该解决方案的客户已实现超过500次流
电子网消息,全球第一大芯片设计自动化EDA软件供应商及全球第一大芯片接口IP供应商、软件质量和安全解决方案的全球领导者Synopsys宣布将在中国成立新的战略投资基金,第一期基金规模为一亿美元。这是Synopsys首次在中国设立投资基金。 Synopsys中国战略投资基金将由Synopsys中国负责管理和运营。基于对全球集成电路产业高质量发展和技术演进的深刻理解,结合在中国产业的积累,该互助基金将致力于与中国本地企业和投资机构携手合作,广泛拓展芯片设计、人工智能、云计算和大数据、物联网、软件安全、EDA工具及IP等前沿技术领域。 该互助基金将着重关注创新企业的加速成长,为创业者提供丰富的资源和网络,共同发挥出潜在的市场价值,延伸
RBF神经网络控制设计、分析及Matlab仿线V SIC SBD “TRSxxx120Hx系列” 助力工业电源设备高效
TI 有奖直播 使用基于 Arm 的 AM6xA 处理器设计智能化楼宇
Follow me第二季第3期来啦!与得捷一起解锁高性能开发板【EK-RA6M5】超能力!
报名直播赢【双肩包、京东卡、水杯】 高可靠性IGBT的新选择——安世半导体650V IGBT
30套RV1106 Linux开发板(带摄像头),邀您动手挑战边缘AI~
XMOS携手合作伙伴晓龙国际联合推出集成了ASRC等功能的多通道音频板
XMOS实现智能音频时代“一芯多用”——用一颗xcore处理器搞定ASRC和USB多通道音频中国,北京,2024年11月——AI与半导体专业公司XMOS ...
【2024年11月19日, 德国慕尼黑讯】无人驾驶和电气化都是汽车行业的重要趋势。人工智能(AI)在这一趋势中发挥着至关重要的作用,它使车辆 ...
国内首家:纳芯微CAN收发器NCA1044-Q1全面通过IBEE/FTZ-Zwickau EMC认证
业界领先的EMC特性助力汽车制造商简化设计和认证流程,缩短上市时间近日,纳芯微宣布其新推出的汽车级CAN收发器芯片NCA1044-Q1获得欧洲权威 ...
兆易创新选择 Arteris产品用于开发 符合增强型 FuSa 标准的下一代汽车 SoC
具有物理感知能力的 FlexNoC 5 互连 IP 提高了布局和布线效率,并减少了互连面积和功耗。加利福尼亚州 坎贝尔 – 2024 年 11 月 ...
生成式AI新助力:IBM 携手 AMD 明年部署推出 MI300X 加速器服务
IBM公司昨日(11 月 18 日)发布了重要的公告,宣布和AMD公司达成合作,计划在IBMCloud 上部署AMDInstinct™MI300X加速器服务(accelerators a ...
嵌入式处理器嵌入式操作系统开发相关FPGA/DSP总线与接口数据处理消费电子工业电子汽车电子其他技术存储技术综合资讯论坛电子百科词云:
