Redaktion: Während die globale Krise Regierungen und Unternehmen dazu veranlasst hat, die Kostendämpfung ernsthafter zu betrachten und gleichzeitig die Auswirkungen der Pandemie anzugehen, ist die Einführung von Open Source-Software (OSS) wichtig geworden. Mit der Einführung von OSS sowohl auf Endbenutzerebene als auch in der SDLC-Phase (Software Development Lifecycle) ist die Notwendigkeit von Code-Integrität und -Sicherheit von größter Bedeutung geworden. Ist das Patchen von OSS-Komponenten jedoch auf dem neuesten Stand? Die Version des Anbieters finden Sie weiter unten.

Die Synopsys-Studie zeigt, dass Open Source-Sicherheit im Vordergrund steht, aber zu langsam gepatcht wird

Eine weltweite Umfrage unter 1,500 IT-Fachleuten ergab, dass bei 40% der Befragten weltweit die Lieferpläne unterbrochen wurden, um Open Source-Schwachstellen zu beheben

SINGAPUR, @mcgallen #microwireinfo, 9. Dezember 2020 - Synopsys, Inc. (Nasdaq: SNPS) hat heute den Bericht veröffentlicht, DevSecOps-Praktiken und Open Source Management im Jahr 2020. Produziert von der Synopsys Cybersecurity Research Center (CyRC) hebt der Bericht die Ergebnisse einer Umfrage unter 1,500 IT-Fachleuten hervor, die in den Bereichen Cybersicherheit, Softwareentwicklung, Softwareentwicklung und Webentwicklung tätig sind. In dem Bericht werden die Strategien untersucht, mit denen Unternehmen auf der ganzen Welt das Open-Source-Schwachstellenmanagement angehen, sowie das wachsende Problem veralteter oder aufgegebener Open-Source-Komponenten im kommerziellen Code.

Open Source spielt eine entscheidende Rolle im heutigen Software-Ökosystem. Die überwiegende Mehrheit der modernen Codebasen enthält Open-Source-Komponenten, wobei Open Source häufig 70% oder mehr des gesamten Codes ausmacht. Parallel zum Wachstum der Open Source-Nutzung steigt jedoch das Sicherheitsrisiko, das von nicht verwaltetem Open Source ausgeht. In der Tat nach dem OSSRA-Bericht 202075% der von Synopsys geprüften Codebasen enthalten Open Source-Komponenten mit bekannten Sicherheitslücken. Um dieser Situation entgegenzuwirken, nennen die Befragten die Identifizierung bekannter Sicherheitslücken als Hauptkriterium bei der Überprüfung neuer Open Source-Komponenten.

"Es ist klar, dass nicht gepatchte Schwachstellen eine Hauptursache für Entwicklerschmerzen und letztendlich für Geschäftsrisiken sind." sagte Tim Mackey, Hauptsicherheitsstratege des Synopsys Cybersecurity Research Center. "Der Bericht" DevSecOps-Praktiken und Open Source-Management im Jahr 2020 "zeigt, wie Unternehmen Schwierigkeiten haben, ihr Open Source-Risiko effektiv zu verfolgen und zu verwalten."

"Über die Hälfte - 51% - gibt an, dass es zwei bis drei Wochen dauert, bis sie einen Open Source-Patch anwenden", fuhr Mackey fort. „Dies hängt wahrscheinlich damit zusammen, dass nur 38% ein SCA-Tool (Automated Software Composition Analysis) verwenden, um festzustellen, welche Open Source-Komponenten verwendet werden und wann Updates veröffentlicht werden. Die verbleibenden Unternehmen setzen wahrscheinlich manuelle Prozesse ein, um Open Source zu verwalten - Prozesse, die Entwicklungs- und Betriebsteams verlangsamen und sie dazu zwingen, die Sicherheit in einem Klima nachzuholen, in dem durchschnittlich Dutzende neuer Sicherheitsinformationen täglich veröffentlicht werden. “

Weitere bemerkenswerte Ergebnisse im Bericht „DevSecOps-Praktiken und Open Source Management im Jahr 2020“ sind:

  • DevSecOps wächst weltweit rasant. Insgesamt 63% der Befragten gaben an, dass sie ein gewisses Maß an DevSecOps-Aktivitäten in ihre Softwareentwicklungs-Pipelines integrieren.
  • Es gibt kein allgemein anerkanntes AST-Tool (Application Security Testing). Wie aus den Antworten auf die Umfragefragen hervorgeht, mangelt es nicht an Tools und Techniken zum Testen der Anwendungssicherheit. Selbst das AST-Tool mit der höchsten Akzeptanzrate wird jedoch nur von weniger als der Hälfte der Befragten verwendet.
  • Die Medien spielen eine wichtige Rolle im Open Source-Risikomanagement. XNUMX Prozent der Befragten gaben an, dass die Berichterstattung in den Medien ihre Organisation dazu veranlasst hatte, strengere Kontrollen für die Open Source-Nutzung anzuwenden.
  • XNUMX Prozent der Befragten definieren Standards für das Alter der von ihnen verwendeten Open Source-Komponenten. Ein wachsendes Problem in der Open Source-Community ist die Nachhaltigkeit von Projekten. A 2020 Synopsys-Studie zeigten, dass 91% der im Jahr 2019 geprüften Codebasen Open-Source-Komponenten enthielten, die entweder mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklungsaktivität hatten. Sicherheitsrisiken erhöhen sich, wenn veralteter Code bereitgestellt wird, einschließlich der Gefahr, dass eine Open Source-Komponente entführt wird. Eine solche Situation trat 2018 auf, als die Event-Stream-Komponente entführt wurde, um Bitcoin in Copay-Konten als Ziel festzulegen.

Laden Sie eine Kopie des herunter, um mehr zu erfahren DevSecOps-Praktiken und Open Source Management im Jahr 2020 berichten.

Informationen zur Synopsys Software Integrity Group

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###