大多数开源都有安全缺陷

对黑鸭2017开源安全和风险分析（OSSRA）进行的软件审计发现，金融应用平均有52个开源漏洞。

黑鸭的开源研究中心（Cosri）分析了2016年审计的1,071份申请。

审计报告称，所有行业的96％的申请占开源的开放来源和大部分都容易受到开源安全问题的影响。

总体而言，60％的申请审计包含高风险漏洞。零售和电子商务行业具有高风险开放源漏洞的应用最高，83％的审计应用程序含有高风险漏洞。

Chris Fearon是Cosri的安全研究组织的Black Dute开源安全研究组主任，说：“COSRI分析的结果清楚地表明，每个行业的组织都有很长的路要走，以便在他们管理开源方面有效。”

Black Duck表示，每个版本的Linux，PHP，Ruby在Rails和MS.NET中包含高风险漏洞。

最近在云本机计算论坛上的演示文稿，它权衡开源是否比商业软件更为安全，突出了许多常见的漏洞。例如，Heartbled是由OpenSSL代码中的缓冲区溢出引起的。ShellShock是Linux Bash（Bourne再次壳牌）脚本语言的安全缺陷。这个特殊的缺陷存在于Linux Torvalds，Linux创作者的原始代码中，1991年提出了尚未发现和修补的原因。

与商业软件不同，如果更新自动“推送”向用户，则开源具有“拉”支持模型。这意味着用户负责跟踪漏洞以及它们使用的开源的修复和更新。

黑鸭首席执行官娄世利说：“开源漏洞的利用是大多数公司拥有的最大的应用安全风险。”

在审计的应用程序中也发现开源许可冲突普遍存在。超过85％的分析应用包含具有许可证挑战的开源组件，称为黑鸭。

大多数开源组件由大约2,500名已知的开源许可证的控制，如果识别组件本身，则可以跟踪和管理许可证义务，但它说。

但黑鸭发现，扫描的53％的应用程序有未知的许可证，这意味着没有人有权从软件的创建者修改或共享代码。

没有可识别许可条款的组件是有问题的。如果软件没有许可证，则通常意味着没有人可以从软件的创建者权限使用，修改或共享它。Creative Work，包括代码，截至默认是独家版权，默认情况下，黑鸭子说。