Veröffentlicht am

Redaktion: Während die globale Krise Regierungen und Unternehmen dazu veranlasst hat, die Kostendämpfung ernsthafter zu betrachten und gleichzeitig die Auswirkungen der Pandemie anzugehen, ist die Einführung von Open Source-Software (OSS) wichtig geworden. Mit der Einführung von OSS sowohl auf Endbenutzerebene als auch in der SDLC-Phase (Software Development Lifecycle) ist die Notwendigkeit von Code-Integrität und -Sicherheit von größter Bedeutung geworden. Ist das Patchen von OSS-Komponenten jedoch auf dem neuesten Stand? Die Version des Anbieters finden Sie weiter unten.

Synopsys Studie zeigt, dass Open-Source-Sicherheit Top-of-Mind ist, aber das Patchen zu langsam ist

Eine weltweite Umfrage unter 1,500 IT-Fachleuten ergab, dass bei 40% der Befragten weltweit die Lieferpläne unterbrochen wurden, um Open Source-Schwachstellen zu beheben

SINGAPUR, @mcgallen #microwireinfo, 9. Dezember 2020 - Synopsys, Inc. (Nasdaq: SNPS) hat heute den Bericht veröffentlicht, DevSecOps-Praktiken und Open Source Management im Jahr 2020. Produziert von der Synopsys Forschungszentrum für Cybersicherheit (CyRC) hebt der Bericht die Ergebnisse einer Umfrage unter 1,500 IT-Fachleuten hervor, die in den Bereichen Cybersicherheit, Softwareentwicklung, Softwareentwicklung und Webentwicklung tätig sind. In dem Bericht werden die Strategien untersucht, mit denen Unternehmen auf der ganzen Welt das Open-Source-Schwachstellenmanagement angehen, sowie das wachsende Problem veralteter oder aufgegebener Open-Source-Komponenten im kommerziellen Code.

Open Source spielt eine entscheidende Rolle im heutigen Software-Ökosystem. Die überwiegende Mehrheit der modernen Codebasen enthält Open-Source-Komponenten, wobei Open Source häufig 70% oder mehr des gesamten Codes ausmacht. Parallel zum Wachstum der Open Source-Nutzung steigt jedoch das Sicherheitsrisiko, das von nicht verwaltetem Open Source ausgeht. In der Tat nach dem OSSRA-Bericht 2020, 75 % der Codebasen werden von auditiert Synopsys enthalten Open-Source-Komponenten mit bekannten Sicherheitslücken. Um dieser Situation entgegenzuwirken, nennen die Umfrageteilnehmer die Identifizierung bekannter Sicherheitslücken als wichtigstes Kriterium bei der Überprüfung neuer Open-Source-Komponenten.

„Es ist klar, dass nicht gepatchte Schwachstellen eine große Quelle für Entwicklerschmerzen und letztendlich ein Geschäftsrisiko darstellen.“ sagte Tim Mackey, Hauptsicherheitsstratege des Synopsys Forschungszentrum für Cybersicherheit. „Der Bericht ‚DevSecOps Practices and Open Source Management in 2020‘ zeigt auf, wie Organisationen Schwierigkeiten haben, ihre Open-Source-Risiken effektiv zu verfolgen und zu managen.“

"Über die Hälfte - 51% - gibt an, dass es zwei bis drei Wochen dauert, bis sie einen Open Source-Patch anwenden", fuhr Mackey fort. „Dies hängt wahrscheinlich damit zusammen, dass nur 38% ein SCA-Tool (Automated Software Composition Analysis) verwenden, um festzustellen, welche Open Source-Komponenten verwendet werden und wann Updates veröffentlicht werden. Die verbleibenden Unternehmen setzen wahrscheinlich manuelle Prozesse ein, um Open Source zu verwalten - Prozesse, die Entwicklungs- und Betriebsteams verlangsamen und sie dazu zwingen, die Sicherheit in einem Klima nachzuholen, in dem durchschnittlich Dutzende neuer Sicherheitsinformationen täglich veröffentlicht werden. “

Weitere bemerkenswerte Ergebnisse im Bericht „DevSecOps-Praktiken und Open Source Management im Jahr 2020“ sind:

  • DevSecOps wächst weltweit rasant. Insgesamt 63% der Befragten gaben an, dass sie ein gewisses Maß an DevSecOps-Aktivitäten in ihre Softwareentwicklungs-Pipelines integrieren.
  • Es gibt kein allgemein anerkanntes AST-Tool (Application Security Testing). Wie aus den Antworten auf die Umfragefragen hervorgeht, mangelt es nicht an Tools und Techniken zum Testen der Anwendungssicherheit. Selbst das AST-Tool mit der höchsten Akzeptanzrate wird jedoch nur von weniger als der Hälfte der Befragten verwendet.
  • Die Medien spielen eine wichtige Rolle im Open Source-Risikomanagement. XNUMX Prozent der Befragten gaben an, dass die Berichterstattung in den Medien ihre Organisation dazu veranlasst hatte, strengere Kontrollen für die Open Source-Nutzung anzuwenden.
  • XNUMX Prozent der Befragten definieren Standards für das Alter der von ihnen verwendeten Open Source-Komponenten. Ein wachsendes Problem in der Open Source-Community ist die Nachhaltigkeit von Projekten. A 2020 Synopsys Studie zeigten, dass 91% der im Jahr 2019 geprüften Codebasen Open-Source-Komponenten enthielten, die entweder mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklungsaktivität hatten. Sicherheitsrisiken erhöhen sich, wenn veralteter Code bereitgestellt wird, einschließlich der Gefahr, dass eine Open Source-Komponente entführt wird. Eine solche Situation trat 2018 auf, als die Event-Stream-Komponente entführt wurde, um Bitcoin in Copay-Konten als Ziel festzulegen.

Laden Sie eine Kopie des herunter, um mehr zu erfahren DevSecOps-Praktiken und Open Source Management im Jahr 2020 berichten.

Über die Synopsys Softwareintegritätsgruppe

Synopsys Die Software Integrity Group hilft Entwicklungsteams, sichere, qualitativ hochwertige Software zu entwickeln, Risiken zu minimieren und gleichzeitig Geschwindigkeit und Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer im Bereich Anwendungssicherheit, bietet Lösungen für statische Analysen, Softwarezusammensetzungen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open-Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Nur mit einer Kombination aus branchenführenden Tools, Services und Fachwissen Synopsys unterstützt Unternehmen bei der Optimierung von Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung. Erfahren Sie mehr unter www.synopsys.com/Software.

Über Uns Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software™-Partner für innovative Unternehmen, die elektronische Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als weltweit 15. größtes Softwareunternehmen Synopsys blickt auf eine lange Geschichte als weltweit führendes Unternehmen in den Bereichen Electronic Design Automation (EDA) und Halbleiter-IP zurück und baut seine Führungsposition im Bereich Softwaresicherheit und Qualitätslösungen weiter aus. Egal, ob Sie ein System-on-Chip (SoC)-Designer sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com €XNUMX.

###