日前，新思科技 (Synopsys, Nasdaq: SNPS)发布了《2021年开源安全和风险分析》报告（OSSRA）。该报告由新思科技网络安全研究中心（CyRC）制作，研究了由Black Duck审计服务团队执行的对超过1,500个商业代码库的审计结果。报告重点介绍了在商业应用程序中开源应用的趋势，并且提供了见解，以帮助企业和开源开发者更好地了解他们所处的互联软件生态系统。这份报告也详细地介绍了非托管开源所带来的安全隐患，包括安全漏洞、过期或废弃的组件以及许可证合规性问题。

　　2021年 OSSRA报告强调，开源是所有行业绝大多数应用程序的基础；但同时，他们也在费尽心思去管理开源风险。

　　所有经过审计的营销科技类公司的代码库都包含开源，包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞虚拟网络ip代理静态。

　　更令人担忧的是废弃开源组件仍在被广泛使用。高达91%的代码存在开源依赖项，这些开源组件在过去两年内没有任何开发活动——没有进行代码改进，也没有任何安全修复。

　　新思科技网络安全研究中心首席安全策略师Tim Mackey表示：“超过90%的代码库使用了在过去两年没有发生任何开发活动的开源组件，这不足为奇。与供应商能直接将信息推送给用户的商业软件不同，开源更需要社区参与才能蓬勃发展。如果没有社区参与，企业就将开源组件用于商业软件，项目活力很容易减弱。废弃项目不是新问题，但是当它们出现时，解决安全问题变得更加困难。解决方案很简单，投资那些利于业务成功的项目。”

　　新思科技软件应用安全解决方案工程师王永雷表示，许多基于前端页面组件的漏洞都可以实现远程攻击或操作。“随着网络及云化越来越普及，我们建议关注开源的风险，并且需要重视安全治理，否则很容易被攻击导致数据泄露等重大风险。”

　　商业软件中过时的开源组件已成常态。85% 的代码库含有至少四年未曾更新的开源依赖项。与废弃项目不同，这些过时的开源组件拥有活跃的开发人员，但是他们发布的更新及安全补丁却没有被下游商业消费者所采用。除了忽略应用补丁会带来的明显安全隐患之外，使用过时的开源组件还可能带来技术上的麻烦，包括与将来更新相关的功能问题和兼容性问题。 “大家的眼睛只盯在头部组件，但还有大部分组件隐藏在冰山下面，比如包括我们提到的OpenSSL，它的漏洞是好多年后才被发现的。”王永雷说道。

　　开源漏洞趋势朝着错误的方向发展。2020年，包含存在漏洞的开源组件的代码库百分比为84%，较2019年上涨了9%。同样，包含高风险漏洞的代码库的百分比从49%上升至60%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞，并且所有这些漏洞的百分比均有显著增加。

　　超过90％经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。2020年审计的代码库中，65%包含存在许可证冲突的开源组件，通常涉及“GNU通用公共许可证”。26%的代码库采用没有许可证或定制许可证的开源代码。这三种问题有潜在的侵权和其它法律风险，通常需要进行评估，尤其涉及到合并和收购交易的时候。

　　据王永雷介绍，目前新思科技提供了端到端的开源治理解决方案，首先是开源组件的识别功能，通过自动化的工具实现全场景扫描，识别和追踪应用程序及容器的开源组件，取代了以往手工填写所造成的不准确性。

　　其次，是保护功能模块，并不只是发现漏洞，而是给予修复建议，提供诸如哪个版本的组件更安全，或者更新后及时通知给客户。王永雷表示，新思的知识库（Knowledge Base）是每两周就更新一次，漏洞的发布频率是以小时来计的，可确保漏洞披露的及时性。

　　第三，是合规协助。针对开源的合规，比如GPL，描述文件就有几十页之多，一页页看下去会耽误大量时间，新思科技可以帮助用户进行解读，从而确保开源组件实现合规。

　　第四，是针对治理，王永雷提供了两种治理思路，一个是主动治理，另外则是被动治理。针对主动治理，相当于设计左移概念，也就是架构师从一开始就要考量安全漏洞问题，制定黑白名单。而被动治理则是要随时针对软件进行全生命周期监控。

　　“针对安全漏洞，一定要结合整个开发运维的过程将其集成起来，并且不是一蹴而就的，需要结合人、技术以及流程的安全意识统一。”王永雷总结道。

　　多个奖项高度认可新思科技在推动先进工艺硅片成功和技术创新领导方面所做出的卓越贡献 摘要 ： 新思科技全新数字与模拟设计流程认证针对台积公司N2和N3P工艺可提供经验证的功耗、性能和面积（PPA）结果。 新思科技接口IP组合已在台积公司N3E工艺上实现硅片成功，能够降低集成风险，加快产品上市时间，并针对台积公司N3P工艺提供一条快速开发通道。 集成3Dblox 2.0标准的全面多裸晶芯片系统解决方案提高了快速异构集成的生产率。 新思科技携手Ansys和是德科技（Keysight）合作开发针对台积公司N4P工艺的射频设计参考流程，通过可互操作的前后端设计流程提供业界领先的性能和功耗。

　　迅速创建差异化、定制化的软件，提供卓越的客户体验，是软件开发人员当下面临的主要挑战。为了应对这个挑战，他们往往依赖于开源组件以快速添加应用程序功能。这也带来了新的问题：开源组件安全性和合规性。面对软件组件的分析工具也应运而生。 美国新思科技公司(Synopsys, Nasdaq: SNPS)近日宣布其在权威独立调研公司Forrester Wave™发布的《2019年第二季度软件组成分析报告》中被评为领导者。该报告分析了10家在软件组成分析解决方案（SCA）领域最具影响力的供应商，并且根据33项标准对其进行了评估。这些标准分为三大高级别的类别：现有产品、策略以及市场份额。新思科技黑鸭软件组成分析解决方案在软件开发生命周期（SDL

　　被评为软件组成分析解决方案领导者 /

　　打开智能手机，我们可以进行支付、聊天、付款、叫外卖、打车、购物、医院挂号等等，现代人的生活似乎已经离不开这些各式各样的应用软件了。与此同时，功能越来越丰富的背后也隐藏着隐患，危害到用户的信息安全和财产安全。 人们每天携带的移动设备里安装了很多应用程序，但这些应用程序仍然缺乏强健的安全性。为什么会存在这样的问题呢？研发人员又该如何解决？ 手机应用程序(APP)带来了极大的便利，改变了通信方式，体现了人类无穷的创造力。使用智能手机，扫一扫就能购买到食物、衣服或者其它物品；你可以手机支付、和朋友聊天、远程和亲人视频；可以记录运动数据、拍摄视频和照片；还可以收听节目、音乐，当手电筒或者给吉他调音。 但是，同时APP

　　：手机APP仍然缺乏强健的安全性 /

　　自集成电路问世以来至现在，其工艺节点已经进化至14nm。其间，人类凭借着创新精神不断地突破尺寸的极限，把摩尔定律失效的期限后延。从平面集成电路到3D IC，再到FinFET,这一路的发展凝结着半导体设计与制造行业的智慧。子曰：“工欲善其事，必先利其器”，而为IC设计及制造厂商提供“利器”的EDA公司更像是幕后的无名英雄，为密切配合IC技术的发展贡献自己的力量。 2012年Synopsys收购排名第四的EDA公司Magma后，整个EDA行业迎来了“三分天下”的寡头竞争时代；同时,芯片厂商之间的整合也在加剧。那么，对于EDA公司来说，在芯片设计日益复杂、工艺节点不断降低、并且市场容量缩小、整合空间已十分有限的当下，其发展道路

　　全球领先的半导体设计与制造的软件和知识产权（IP）供应商新思科技（Nasdaq：SNPS）今天发布了最新一代针对模拟/混合信号（AMS）和数字设计的完整解决方案——Discovery™验证平台。通过在整个平台里采用新型多核仿真技术、本征设计检验和全面的低功耗验证技术， Discovery 2009能够提供前所未有的验证能力。今天推出的多核仿真技术与VCS功能性验证及CustomSim™统一电路仿真解决方案（VCS及CustomSim™是Discovery平台两个关键的组成部分）将能够提供比之前解决方案快达四倍的验证速度。有了Discovery 2009，验证工程师们将能够显著提高工作效率，更快完成AMS和数字设计验证任务。

　　Intel和Synopsys联合宣布，他们已经成功演示了Intel下一代Xeon可扩展的“Sapphire Rapids”处理器与Synopsys的PCIe 5.0控制器和物理接口（PHY）之间的互操作性。Synopsys的PCIe 5.0 IP与Intel处理器的成功验证意味着：CPU和PCIe 5.0 IP按计划以32 GT/s的数据传输速率工作。 Intel即将推出的Xeon可扩展“Sapphire Rapids”与Synopsys针对PCIe 5.0的DesignWare IP之间的互操作性演示证明了CPU和PCIe 5.0解决方案都能按计划工作。这表明，即将推出的支持使用Synopsys技术的PCIe 5.0接口的

　　演示第四代Xeon的PCIe 5.0控制器 /

　　合规培训将帮助企业通过审计。但是为了保护客户数据，安全团队需要在合规要求之外进行在线安全培训。 随着国内外与信息安全有关的法律法规的颁布以及软件安全行业标准的出台，企业在构建安全、高质量的软件的同时需要遵守相关法律法规和标准，否则将面临巨额罚款。因此，企业必须意识到不合规所带来的风险并加强对团队的合规审计培训。 受疫情影响，许多企业几乎已经开启完全远程办公的模式。他们不得不为过去线下当面进行的活动进行重新规划。例如，在不确定时期，许多合规审计已经通过在线方式进行。这种转变要求企业调整他们所做的准备和计划。 但是即使在形势不明朗的时期，保持敏锐以及对安全知识、计划和响应的追踪仍是企业的责任。企业的安全团队必须以新的

　　：重视合规审计培训在远程办公的重要性 /

　　DesignWare ARC HS4x系列内嵌DSP将上代ARC HS内核的信号处理性能提升至两倍。 亮点： 新ARC HS4x和HS4xD处理器含双发射架构，与广受欢迎的ARC HS3x系列相比，可将RISC性能提升25%，同时还添加了2倍的DSP性能，并拥有节能的信号处理能力，适用于无线基带、声音/语音、中频段音频和嵌入式DSP应用 ARC HS4xD处理器实现了扩展的ARCv2DSP指令集架构（ISA），其中含150多条DSP指令，因而可加速信号处理算法 MetaWare 开发工具包简化了ARC处理器的编程，并增强了对双发射架构和DSP硬件的支持，从而最大程度地提升了性能，减小了代码量 最多支持4核的多核配

　　STM32N6终于要发布了，ST首款带有NPU的MCU到底怎么样，欢迎小伙们来STM32全球线上峰会寻找答案！

　　Follow me第二季第3期来啦！与得捷一起解锁高性能开发板【EK-RA6M5】超能力！

　　虽然无数关于未来交通的文章都以四轮电动车作为讨论重点，但在印度、马来西亚、泰国和印度尼西亚等诸多国家，出行更依赖于经济的两轮电动车 ...

　　恩智浦首个集成以太网时间敏感网络（TSN）交换机的i MX应用处理器系列，结合实时处理与工业网络协议支持，实现工业控制恩智浦首个集成后量 ...

　　全新多路复用寄存时钟驱动器、多路复用数据缓冲器和PMIC，使下一代MRDIMM速度提升至高达每秒12,800兆次传输，满足AI和高性能计算应用需求20 ...

　　XMOS实现智能音频时代“一芯多用”——用一颗xcore处理器搞定ASRC和USB多通道音频中国，北京，2024年11月——人工智能与半导体专业公司XMOS ...

　　【2024年11月19日, 德国慕尼黑讯】自动驾驶和电气化都是汽车行业的重要趋势。人工智能（AI）在这一趋势中发挥着至关重要的作用，它使车辆 ...

　　国内首家：纳芯微CAN收发器NCA1044-Q1全面通过IBEE/FTZ-Zwickau EMC认证

　　站点相关：嵌入式处理器嵌入式操作系统开发相关FPGA/DSP总线与接口数据处理消费电子工业电子汽车电子其他技术存储技术综合资讯论坛电子百科