Synopsys Studie von mehr als 1,200 kommerziellen Anwendungen und Bibliotheken ergab, dass die Mehrheit immer noch Open Source-Sicherheitslücken und Lizenzkonflikte enthält

20171108_synopsys_coverityfeat

Singapur, @mcgallen #microwireinfo, 8. Mai 2019 - Synopsys, Inc. (Nasdaq: SNPS) hat heute die Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) für 2019. Der Bericht der Synopsys Cybersecurity Research Center (CyRC) untersucht die Ergebnisse von mehr als 1,200 Audits kommerzieller Anwendungen und Bibliotheken, die vom Black Duck Audit Services-Team durchgeführt wurden. Der Bericht hebt Trends und Muster bei der Open Source-Nutzung sowie die Verbreitung unsicherer Open Source-Komponenten und Lizenzkonflikte hervor.

Wie der Bericht zeigt, bestehen viele der Trends bei der Nutzung von Open Source, die Unternehmen in den vergangenen Jahren vor Herausforderungen beim Risikomanagement gestellt haben, bis heute an. Die Daten deuten jedoch auch darauf hin, dass ein Wendepunkt erreicht wurde, an dem viele Unternehmen ihre Fähigkeit verbessern, Open-Source-Risiken zu managen, möglicherweise aufgrund eines erhöhten Bewusstseins und der Reifung kommerzieller Lösungen für die Analyse der Softwarezusammensetzung.

"Open Source spielt eine immer wichtigere Rolle in der modernen Softwareentwicklung und -bereitstellung. Um jedoch ihren Wert zu erkennen, müssen Unternehmen verstehen und verwalten, wie sich dies auf ihre Risikostellung aus Sicht der Sicherheit und Lizenzkonformität auswirkt", sagte Tim Mackey, Hauptsicherheitsstratege von das Synopsys Cybersecurity Research Center. „Der OSSRA-Bericht 2019 bietet einen Einblick in den Stand des Open Source-Risikomanagements in kommerziellen Anwendungen. Es zeigt, dass es immer noch erhebliche Herausforderungen gibt, da die meisten Anwendungen Open Source-Sicherheitslücken und Lizenzkonflikte enthalten. Es wird jedoch auch hervorgehoben, dass diese Herausforderungen angegangen werden können, da die Anzahl der Open Source-Schwachstellen und Lizenzkonflikte gegenüber dem Vorjahr zurückgegangen ist. “

Einige der bemerkenswertesten Open-Source-Risikotrends, die im OSSRA-Bericht 2019 identifiziert wurden, sind:

  • Die Akzeptanz von Open Source hat deutlich zugenommen. 2018 Prozent der im Jahr 298 geprüften Codebasen enthielten Open-Source-Komponenten, mit durchschnittlich 257 Open-Source-Komponenten pro Codebasis im Vergleich zu 2017 im Jahr XNUMX.
  • Open Source-Lizenzkonflikte können geistiges Eigentum gefährden. Achtundsechzig Prozent der Codebasen enthielten irgendeine Form von Open-Source-Lizenzkonflikt, und 38 Prozent enthielten Open-Source-Komponenten ohne identifizierbare Lizenz.
  • Die Verwendung von "verlassenen" Komponenten ist üblich. XNUMX Prozent der Codebasen enthielten Komponenten, die mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklung hatten. Wenn eine Komponente inaktiv ist und von niemandem gewartet wird, bedeutet dies, dass niemand ihre potenziellen Schwachstellen behebt.
  • Viele Organisationen können ihre Open Source-Komponenten nicht patchen oder aktualisieren. Das Durchschnittsalter der bei den Black Duck Audits 2018 festgestellten Sicherheitslücken lag bei 6.6 Jahren und damit etwas höher als 2017 - was darauf hindeutet, dass sich die Sanierungsbemühungen nicht wesentlich verbessert haben. 2018 Prozent der 10 gescannten Codebasen enthielten Sicherheitslücken, die älter als 16,500 Jahre waren. Vor dem Hintergrund der National Vulnerability Database, in der 2018 mehr als XNUMX neue Schwachstellen hinzugefügt wurden, müssen die eindeutigen Patch-Prozesse skaliert werden, um den gestiegenen Offenlegungen Rechnung zu tragen.
  • Nicht alle Schwachstellen sind gleich, aber viele Unternehmen befassen sich nicht einmal mit den riskantesten. Über 40% der Codebasen enthielten mindestens eine Open-Source-Sicherheitsanfälligkeit mit hohem Risiko.

Der Bericht stellt fest, dass die Verwendung von Open Source-Software an und für sich kein Problem darstellt und in der Tat für die Software-Innovation von wesentlicher Bedeutung ist. Das Versäumnis, Sicherheits- und Lizenzrisiken im Zusammenhang mit der Verwendung von Open Source-Komponenten proaktiv zu identifizieren und zu verwalten, kann jedoch sehr schädlich sein. Trotz der identifizierten Risikofaktoren deuten die OSSRA-Daten für 2019 darauf hin, dass nach dem Equifax-Verstoß ein verstärktes Bewusstsein für Open Source-Risiken und die Reifung kommerzieller Lösungen für die Analyse der Softwarezusammensetzung zu Fortschritten geführt haben:

  • Unternehmen können Open Source-Sicherheitslücken immer besser verwalten. 2018% der im Jahr 78 geprüften Codebasen enthielten mindestens eine Sicherheitsanfälligkeit - immer noch signifikant, aber viel besser als die Zahl von 2017% aus dem Jahr XNUMX.
  • Insgesamt hat sich auch die Einhaltung von Open Source-Lizenzen verbessert. Achtundsechzig Prozent der 2018 geprüften Codebasen enthielten Komponenten mit Lizenzkonflikten, verglichen mit 74 Prozent im Jahr 2017.

Laden Sie eine Kopie des herunter, um mehr zu erfahren OSSRA-Bericht 2019.

Informationen zur Synopsys Software Integrity Platform 
Die Synopsys Software Integrity Group unterstützt Unternehmen bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter http://www.synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###