91% der kommerziellen Apps haben veraltete oder aufgegebene OSS-Komponenten - eine Synopsys-Studie

20170912_synopysys_guidepic

Kurzbeschreibung des Herausgebers: Open Source-Software (OSS), ob in fertiger Form oder als Komponenten für eine Software oder App, wird immer beliebter. Modularer Code ist der richtige Weg, und wie können Sie Repositorys einfacher durchsuchen und nach Softwarefragmenten oder -modulen suchen, die Sie einfach in Ihre eigene benutzerdefinierte Software einbinden können? Spart Zeit und Geld, oder? Bequemlichkeit ist jedoch oft der Fluch der Cybersicherheit. Wie Synopsys herausfand, enthalten 91% der kommerziellen Apps veraltete oder sogar aufgegebene OSS-Komponenten, die schwerwiegende Cybersicherheitsrisiken und Schwachstellen verursachen können, von denen einige sogar irreparabel sein können. Möglicherweise muss neuer Code von Grund auf neu geschrieben werden, um diese Abbruchware zu ersetzen, wenn keine Alternativen gefunden werden, und zwar gegen zusätzliche Kosten. Die Pressemitteilung des Anbieters finden Sie unten.

Die Synopsys-Studie zeigt, dass einundneunzig Prozent der kommerziellen Anwendungen veraltete oder verlassene Open Source-Komponenten enthalten 

Die Analyse von mehr als 1,250 kommerziellen Codebasen zeigt, dass Open Source-Sicherheit, Lizenzkonformität und operationelles Risiko nach wie vor weit verbreitet sind

SINGAPUR, @mcgallen #microwireinfo, 13. Mai 2020 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht die Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) für 2020. Der Bericht der Synopsys Cybersecurity Research Center (CyRC) untersucht die Ergebnisse von mehr als 1,250 Audits kommerzieller Codebasen, die vom Black Duck Audit Services-Team durchgeführt wurden. Der Bericht hebt Trends und Muster bei der Open Source-Nutzung in kommerziellen Anwendungen hervor und bietet Einblicke und Empfehlungen, mit denen Unternehmen Open Source-Risiken unter Sicherheits-, Lizenzkonformitäts- und Betriebssicht besser verwalten können.

Der OSSRA-Bericht 2020 bekräftigt die entscheidende Rolle, die Open Source im heutigen Software-Ökosystem spielt, und zeigt, dass effektiv alle (99%) der im vergangenen Jahr geprüften Codebasen mindestens eine Open Source-Komponente enthalten, wobei Open Source 70% des Codes ausmacht insgesamt. Bemerkenswerter ist die anhaltende weit verbreitete Verwendung alternder oder aufgegebener Open-Source-Komponenten, wobei 91% der Codebasen Komponenten enthalten, die entweder mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklungsaktivität erfahren hatten.

Der besorgniserregendste Trend in der diesjährigen Analyse ist das zunehmende Sicherheitsrisiko durch nicht verwaltetes Open Source. 75% der geprüften Codebasen enthalten Open Source-Komponenten mit bekannten Sicherheitslücken, gegenüber 60% im Vorjahr. In ähnlicher Weise enthielt fast die Hälfte (49%) der Codebasen hohes Risiko Schwachstellen im Vergleich zu 40% nur 12 Monate zuvor.

"Es ist schwierig, die wichtige Rolle, die Open Source bei der modernen Softwareentwicklung und -bereitstellung spielt, zu vernachlässigen, aber es ist leicht zu übersehen, wie sich dies aus Sicht der Sicherheit und Lizenzkonformität auf Ihre Anwendungsrisikostellung auswirkt", sagte Tim Mackey, Hauptsicherheitsstratege von Synopsys Forschungszentrum für Cybersicherheit. „Der OSSRA-Bericht 2020 zeigt, wie Unternehmen weiterhin Schwierigkeiten haben, ihr Open-Source-Risiko effektiv zu verfolgen und zu steuern. Die genaue Bestandsaufnahme von Softwarekomponenten von Drittanbietern, einschließlich Open Source-Abhängigkeiten, und deren Aktualisierung ist ein wichtiger Ausgangspunkt, um das Anwendungsrisiko auf mehreren Ebenen anzugehen. “

Es folgt eine Zusammenfassung der bemerkenswertesten Open-Source-Risikotrends, die im OSSRA-Bericht 2020 identifiziert wurden:

  • Die Akzeptanz von Open Source steigt weiter an. Neunundneunzig Prozent der Codebasen enthalten mindestens Open Source mit durchschnittlich 445 Open Source-Komponenten pro Codebasis - ein deutlicher Anstieg gegenüber 298 im Jahr 2018. Siebzig Prozent des geprüften Codes wurden als Open Source identifiziert, eine Zahl, die von 60 gestiegen ist % im Jahr 2018 und hat sich seit 2015 fast verdoppelt (36%).
  • Veraltete und „verlassene“ Open Source-Komponenten sind allgegenwärtig. XNUMX% der Codebasen enthielten Komponenten, die entweder mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklungsaktivität hatten. Abgesehen von der erhöhten Wahrscheinlichkeit, dass Sicherheitslücken bestehen, besteht das Risiko der Verwendung veralteter Open Source-Komponenten darin, dass deren Aktualisierung auch zu unerwünschten Funktions- oder Kompatibilitätsproblemen führen kann.
  • Die Verwendung anfälliger Open Source-Komponenten nimmt wieder zu. Im Jahr 2019 stieg der Anteil der Codebasen mit anfälligen Open-Source-Komponenten auf 75%, nachdem er zwischen 78 und 60 von 2017% auf 2018% gesunken war. Ebenso stieg der Anteil der Codebasen mit anfälligen Schwachstellen von 49% im Jahr 2019 auf 40%. Glücklicherweise war keine der im Jahr 2018 geprüften Codebasen von dem berüchtigten Heartbleed-Fehler oder der Apache Struts-Sicherheitsanfälligkeit betroffen, die Equifax im Jahr 2019 heimgesucht hat.
  • Open Source-Lizenzkonflikte gefährden weiterhin geistiges Eigentum. Despite its reputation for being “free,” open source software is no different from any other software in that its use is governed by a license. Sixty-eight percent of codebases contained some form of open source license conflict, and 33% contained open source components with no identifiable license. The prevalence of license conflicts varied significantly by industry, ranging from a high of 93% (Internet & Mobile Apps) to a relatively low of 59% (Virtual Reality, Gaming, Entertainment, Media).

Laden Sie eine Kopie des herunter, um mehr zu erfahren OSSRA-Bericht 2020.

20200513_snps_ossra_2020_infogrp
Synopsys Open Source Sicherheits- und Risikoanalysebericht (OSSRA) 2020 - eine Momentaufnahme

Informationen zur Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###