Veröffentlicht am

Singapur, @mcgallen #microwireinfo, 8. Mai 2019 - Synopsys, Inc. (Nasdaq: SNPS) hat heute die Bericht zur Open Source-Sicherheits- und Risikoanalyse (OSSRA) für 2019. Der Bericht der Synopsys Forschungszentrum für Cybersicherheit (CyRC) untersucht die Ergebnisse von mehr als 1,200 Audits kommerzieller Anwendungen und Bibliotheken, die vom Black Duck Audit Services-Team durchgeführt wurden. Der Bericht hebt Trends und Muster bei der Open Source-Nutzung sowie die Verbreitung unsicherer Open Source-Komponenten und Lizenzkonflikte hervor.

Wie der Bericht zeigt, bestehen viele der Trends bei der Nutzung von Open Source, die Unternehmen in den vergangenen Jahren vor Herausforderungen beim Risikomanagement gestellt haben, bis heute an. Die Daten deuten jedoch auch darauf hin, dass ein Wendepunkt erreicht wurde, an dem viele Unternehmen ihre Fähigkeit verbessern, Open-Source-Risiken zu managen, möglicherweise aufgrund eines erhöhten Bewusstseins und der Reifung kommerzieller Lösungen für die Analyse der Softwarezusammensetzung.

„Open Source spielt eine immer wichtigere Rolle in der modernen Softwareentwicklung und -bereitstellung, aber um seinen Wert zu realisieren, müssen Unternehmen verstehen und verwalten, wie es ihre Risikolage aus Sicht der Sicherheit und Lizenz-Compliance beeinflusst“, sagte Tim Mackey, leitender Sicherheitsstratege von das Synopsys Forschungszentrum für Cybersicherheit. „Der OSSRA-Bericht 2019 gibt einen Einblick in den Stand des Open-Source-Risikomanagements in kommerziellen Anwendungen. Es zeigt, dass es immer noch erhebliche Herausforderungen gibt, da die Mehrheit der Anwendungen Open-Source-Sicherheitslücken und Lizenzkonflikte enthalten. Aber es zeigt auch, dass diese Herausforderungen angegangen werden können, da die Zahl der Open-Source-Schwachstellen und Lizenzkonflikte im Vergleich zum Vorjahr zurückgegangen ist.“

Einige der bemerkenswertesten Open-Source-Risikotrends, die im OSSRA-Bericht 2019 identifiziert wurden, sind:

  • Die Akzeptanz von Open Source hat deutlich zugenommen. 2018 Prozent der im Jahr 298 geprüften Codebasen enthielten Open-Source-Komponenten, mit durchschnittlich 257 Open-Source-Komponenten pro Codebasis im Vergleich zu 2017 im Jahr XNUMX.
  • Open Source-Lizenzkonflikte können geistiges Eigentum gefährden. Achtundsechzig Prozent der Codebasen enthielten irgendeine Form von Open-Source-Lizenzkonflikt, und 38 Prozent enthielten Open-Source-Komponenten ohne identifizierbare Lizenz.
  • Die Verwendung von "verlassenen" Komponenten ist üblich. XNUMX Prozent der Codebasen enthielten Komponenten, die mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklung hatten. Wenn eine Komponente inaktiv ist und von niemandem gewartet wird, bedeutet dies, dass niemand ihre potenziellen Schwachstellen behebt.
  • Viele Organisationen können ihre Open Source-Komponenten nicht patchen oder aktualisieren. Das Durchschnittsalter der bei den Black Duck Audits 2018 festgestellten Sicherheitslücken lag bei 6.6 Jahren und damit etwas höher als 2017 - was darauf hindeutet, dass sich die Sanierungsbemühungen nicht wesentlich verbessert haben. 2018 Prozent der 10 gescannten Codebasen enthielten Sicherheitslücken, die älter als 16,500 Jahre waren. Vor dem Hintergrund der National Vulnerability Database, in der 2018 mehr als XNUMX neue Schwachstellen hinzugefügt wurden, müssen die eindeutigen Patch-Prozesse skaliert werden, um den gestiegenen Offenlegungen Rechnung zu tragen.
  • Nicht alle Schwachstellen sind gleich, aber viele Unternehmen befassen sich nicht einmal mit den riskantesten. Über 40% der Codebasen enthielten mindestens eine Open-Source-Sicherheitsanfälligkeit mit hohem Risiko.

Der Bericht stellt fest, dass die Verwendung von Open Source-Software an und für sich kein Problem darstellt und in der Tat für die Software-Innovation von wesentlicher Bedeutung ist. Das Versäumnis, Sicherheits- und Lizenzrisiken im Zusammenhang mit der Verwendung von Open Source-Komponenten proaktiv zu identifizieren und zu verwalten, kann jedoch sehr schädlich sein. Trotz der identifizierten Risikofaktoren deuten die OSSRA-Daten für 2019 darauf hin, dass nach dem Equifax-Verstoß ein verstärktes Bewusstsein für Open Source-Risiken und die Reifung kommerzieller Lösungen für die Analyse der Softwarezusammensetzung zu Fortschritten geführt haben:

  • Unternehmen können Open Source-Sicherheitslücken immer besser verwalten. 2018% der im Jahr 78 geprüften Codebasen enthielten mindestens eine Sicherheitsanfälligkeit - immer noch signifikant, aber viel besser als die Zahl von 2017% aus dem Jahr XNUMX.
  • Insgesamt hat sich auch die Einhaltung von Open Source-Lizenzen verbessert. Achtundsechzig Prozent der 2018 geprüften Codebasen enthielten Komponenten mit Lizenzkonflikten, verglichen mit 74 Prozent im Jahr 2017.

Laden Sie eine Kopie des herunter, um mehr zu erfahren OSSRA-Bericht 2019.

Über die Synopsys Softwareintegritätsplattform 
Synopsys Die Software Integrity Group hilft Unternehmen, sichere, qualitativ hochwertige Software zu entwickeln, Risiken zu minimieren und gleichzeitig Geschwindigkeit und Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer im Bereich Anwendungssicherheit, bietet Lösungen für statische Analysen, Softwarezusammensetzungen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open-Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Nur mit einer Kombination aus branchenführenden Tools, Services und Fachwissen Synopsys unterstützt Unternehmen bei der Optimierung von Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung. Erfahren Sie mehr unter http://www.synopsys.com/software.

Über Uns Synopsys
Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software™-Partner für innovative Unternehmen, die elektronische Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als weltweit 15. größtes Softwareunternehmen Synopsys blickt auf eine lange Geschichte als weltweit führendes Unternehmen in den Bereichen Electronic Design Automation (EDA) und Halbleiter-IP zurück und baut seine Führungsposition im Bereich Softwaresicherheit und Qualitätslösungen weiter aus. Egal, ob Sie ein System-on-Chip (SoC)-Designer sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com €XNUMX.

###