Veröffentlicht am

Kurzfassung des Herausgebers: Softwareintegrität und -sicherheit sind heutzutage von größter Bedeutung, wobei die Software-Lieferkette heute inmitten der globalen Instabilität im Mittelpunkt steht. Der führende Anbieter für Softwareintegrität und -sicherheit, Synopsys, hat den Bericht 2022 Open Source Security and Risk Analysis (OSSRA) veröffentlicht. Während eine Analyse von mehr als 2,400 kommerziellen und proprietären Codebasen einen Rückgang der Open-Source-Lizenz- und Schwachstellenrisiken zeigte, warnt der Bericht davor, dass 88 % der Unternehmen immer noch hinterherhinken, wenn es darum geht, Open Source auf dem neuesten Stand zu halten. Der Bericht ergab, dass 20 % der bewerteten Codebasen Open Source ohne Lizenz oder mit einer angepassten Lizenz enthielten. Die Freigabe des Anbieters ist unten.

Synopsys Studie hebt Kernherausforderungen beim Management von Open-Source-Risiken in Softwarelieferketten hervor

Die Analyse von mehr als 2,400 kommerziellen und proprietären Codebasen zeigt einen Rückgang der Open-Source-Lizenz- und Schwachstellenrisiken, aber 88 % der Unternehmen sind immer noch im Rückstand, wenn es darum geht, Open Source auf dem neuesten Stand zu halten

SINGAPUR, @mcgallen #microwireinfo, 13. April 2022 - Synopsys, Inc. (Nasdaq: SNPS) veröffentlichte heute die Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) für 2022. Der Bericht der Synopsys Forschungszentrum für Cybersicherheit (CyRC), untersucht die Ergebnisse von mehr als 2,400 Audits von kommerziellen und proprietären Codebasen aus Fusions- und Übernahmetransaktionen, die vom Black Duck® Audit Services-Team durchgeführt wurden. Der Bericht hebt Trends bei der Open-Source-Nutzung in kommerziellen und proprietären Anwendungen hervor und bietet Einblicke, um Entwicklern zu helfen, das vernetzte Software-Ökosystem besser zu verstehen. Es beschreibt auch die allgegenwärtigen Risiken, die von nicht verwaltetem Open Source ausgehen, einschließlich Sicherheitslücken, veraltete oder aufgegebene Komponenten und Probleme mit der Lizenzeinhaltung.

Die Ergebnisse des OSSRA-Berichts 2022 unterstreichen die Tatsache, dass Open Source überall und in jeder Branche verwendet wird und die Grundlage jeder heute erstellten Anwendung ist.

  • Veraltete Open Source bleibt die Norm – einschließlich des Vorhandenseins anfälliger Log4j-Versionen. Aus Sicht des Betriebsrisikos/der Wartung enthielten 85 % der 2,097 Codebasen Open Source, die mehr als vier Jahre veraltet war. 88 % verwendeten Komponenten, die nicht die neueste verfügbare Version waren. 5 % enthielten eine verwundbare Version von Log4j.
  • Bewertete Codebasen zeigen, dass Open-Source-Schwachstellen insgesamt abnehmen. 2,097 der bewerteten Codebasen enthielten Sicherheits- und Betriebsrisikobewertungen. Die Zahl der Codebasen, die hochriskante Open-Source-Schwachstellen enthielten, ging noch dramatischer zurück. 49 % der diesjährigen geprüften Codebasen enthielten mindestens eine Hochrisiko-Schwachstelle, verglichen mit 60 % im letzten Jahr. Darüber hinaus enthielten 81 % der bewerteten Codebasen mindestens eine bekannte Open-Source-Schwachstelle, ein minimaler Rückgang von 3 % gegenüber den Ergebnissen der OSSRA 2021.
  • Auch Lizenzkonflikte nehmen insgesamt ab. Über die Hälfte – 53 % – der Codebasen enthielten Lizenzkonflikte, ein erheblicher Rückgang gegenüber den 65 % im Jahr 2020. Im Allgemeinen gingen spezifische Lizenzkonflikte zwischen 2020 und 2021 auf breiter Front zurück.
  • 20 % der bewerteten Codebasen enthielten Open Source ohne Lizenz oder mit einer angepassten Lizenz. Da eine Softwarelizenz das Nutzungsrecht regelt, stellt sich bei Software ohne Lizenz das Dilemma, ob die Nutzung der Open-Source-Komponente mit einem rechtlichen Risiko verbunden ist. Darüber hinaus können kundenspezifische Open-Source-Lizenzen unerwünschte Anforderungen an den Lizenznehmer stellen und erfordern häufig eine rechtliche Prüfung auf mögliche IP-Probleme oder andere Auswirkungen.

„Anwender von SCA-Software haben ihre Aufmerksamkeit darauf gerichtet, Open-Source-Lizenzprobleme zu reduzieren und hochriskante Schwachstellen zu beheben, und diese Bemühungen spiegeln sich in den Rückgängen wider, die wir in diesem Jahr bei Lizenzkonflikten und hochriskanten Schwachstellen gesehen haben“, sagte Tim Mackey, leitender Sicherheitsstratege mit dem Synopsys Forschungszentrum für Cybersicherheit. „Tatsache bleibt, dass mehr als die Hälfte der von uns geprüften Codebasen immer noch Lizenzkonflikte enthielten und fast die Hälfte immer noch hochriskante Schwachstellen enthielt. Noch beunruhigender war, dass 88 % der Codebasen [mit Risikobewertungen] veraltete Versionen von Open-Source-Komponenten mit einem verfügbaren Update oder Patch enthielten, der nicht angewendet wurde.“

„Es gibt berechtigte Gründe, Software nicht auf dem neuesten Stand zu halten“, so Mackey weiter. „Aber wenn eine Organisation kein genaues und aktuelles Inventar der in ihrem Code verwendeten Open Source führt, kann eine veraltete Komponente vergessen werden, bis sie für einen hochriskanten Exploit anfällig wird, und dann wird versucht, herauszufinden, wo sie sich befindet verwendet wird und um es zu aktualisieren ist eingeschaltet. Genau das ist bei Log4j passiert und warum Software Supply Chains und Software Bill of Materials (SBOM) so heiße Themen sind.“

Um mehr über die potenziellen Risiken im Zusammenhang mit Open-Source-Software und deren Bewältigung zu erfahren, Laden Sie eine Kopie des OSSRA-Berichts 2022 herunter, lesen Sie den Blogbeitrag, oder registrieren Sie sich für das Webinar vom 22. April.

Über die Synopsys Softwareintegritätsgruppe

Synopsys Die Software Integrity Group bietet integrierte Lösungen, die die Art und Weise verändern, wie Entwicklungsteams Software erstellen und bereitstellen, Innovationen beschleunigen und gleichzeitig Geschäftsrisiken adressieren. Unser branchenführendes Portfolio an Software-Sicherheitsprodukten und -services ist das umfassendste der Welt und interoperiert mit Drittanbieter- und Open-Source-Tools, sodass Unternehmen vorhandene Investitionen nutzen können, um das für sie beste Sicherheitsprogramm aufzubauen. Nur Synopsys bietet alles, was Sie brauchen, um Vertrauen in Ihre Software aufzubauen. Erfahren Sie mehr unter www.synopsys.com/Software.

Über Uns Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software™-Partner für innovative Unternehmen, die elektronische Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als S&P 500-Unternehmen Synopsys blickt auf eine lange Geschichte als weltweit führendes Unternehmen in den Bereichen Electronic Design Automation (EDA) und Halbleiter-IP zurück und bietet das branchenweit breiteste Portfolio an Tools und Dienstleistungen für Anwendungssicherheitstests. Egal, ob Sie ein System-on-Chip (SoC)-Designer sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der sichereren, qualitativ hochwertigen Code schreibt, Synopsys hat die Lösungen, die für die Lieferung innovativer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com €XNUMX.

###