随着1.43亿Equifax消费者继续从被盗的社会安全号码，出生日期，驾驶执照，地址和信用卡号码中捡拾零配件 ，Flexera再次发出警告-预计在未来数月和数年中，事件和违规行为的尾巴会很长。Flexera公司正在重新构想如何购买，出售，管理和保护软件，对400多家软件供应商，物联网(IoT)制造商和内部开发团队进行了调查，以发布其 开放源代码风险–事实还是虚构?报告。尽管开源软件(OSS)可以帮助软件供应商提高灵活性并更快地构建产品-但今天的报告显示，隐藏的软件供应链风险是所有软件供应商和IoT制造商应了解的风险。

例如，可能获得访问Equifax客户个人数据的分子利用了Apache Struts CVE-2017-5638漏洞。Apache Struts是广泛使用的开放源代码组件– Web服务器的框架–商业和内部系统中的公司都使用它来接收和提供数据。此开源组件的用例使其成为网络攻击的主要目标。

举个例子吗?根据Flexera报告，尽管在商业和物联网软件产品中找到的所有代码中，多达50%是开源的：

没有OSS政策是坏政策：只有37%的受访者有开源获取或使用政策。63%的人说他们的公司没有开源采购或使用政策，或者他们不知道是否存在开源政策。

没有人负责OSS： 39%的受访者表示，公司内部没有人负责开源合规性，或者他们不知道谁是谁。

OSS贡献者没有遵循最佳实践： 33%的受访者表示其公司为开源项目做出了贡献。但是，在63%的人说他们的公司没有开源收购或使用政策的情况下，有43%的人说他们为开源项目做出了贡献。

“我们不能忘记开源确实是一个明显的胜利。Flexera产品管理副总裁Jeff Luszcz表示：“准备就绪的代码可使产品更快地出门，考虑到软件领域的飞速发展，这很重要。” “但是，大多数软件工程师不会跟踪开放源代码的使用，并且大多数软件主管不会意识到存在差距和安全/合规风险。”

向软件和物联网公司报告外卖?您在管理开源安全性和许可方面的流程无法与开源的迅速采用保持同步，这使您和您的客户面临风险。

“开源流程可以保护产品和品牌声誉。但是，大多数软件和物联网供应商并未意识到存在问题，因此他们并没有保护自己和客户。” Luszcz说。“这威胁到整个软件供应链–对于其产品面临合规性和漏洞风险的供应商。对于他们的客户来说，他们很可能甚至都不知道他们在运行开源软件和其他第三方软件，或者这些软件可能包含软件漏洞。”