Publicado el

Resumen del editor: Si bien la crisis global ha empujado a los gobiernos y las empresas a considerar más seriamente la contención de costos y al mismo tiempo abordar las consecuencias de la pandemia, la adopción del software de código abierto (OSS) se ha vuelto importante. Con la adopción de OSS tanto a nivel de usuario final como en las etapas de SDLC (ciclo de vida de desarrollo de software), la necesidad de integridad y seguridad del código se ha vuelto primordial. Sin embargo, ¿está actualizado el parcheo de los componentes OSS? El comunicado del proveedor se encuentra a continuación.

Un estudio de Synopsys muestra que la seguridad de código abierto es una prioridad, pero los parches son demasiado lentos

Una encuesta global de 1,500 profesionales de TI revela que el 40% de los encuestados en todo el mundo sufrió interrupciones en los programas de entrega para abordar las vulnerabilidades de código abierto

SINGAPUR, @mcgallen #microwireinfo, 9 de diciembre de 2020 , Synopsys, Inc. (Nasdaq: SNPS) publicó hoy el informe, Prácticas de DevSecOps y gestión de código abierto en 2020. Producido por el Centro de investigación de seguridad cibernética de Synopsys (CyRC), el informe destaca los hallazgos de una encuesta a 1,500 profesionales de TI que trabajan en ciberseguridad, desarrollo de software, ingeniería de software y desarrollo web. El informe explora las estrategias que las organizaciones de todo el mundo están utilizando para abordar la gestión de vulnerabilidades de código abierto, así como el creciente problema de componentes de código abierto obsoletos o abandonados en el código comercial.

El código abierto juega un papel fundamental en el ecosistema de software actual. La inmensa mayoría de las bases de código modernas contienen componentes de código abierto, y el código abierto a menudo comprende el 70% o más del código general. Sin embargo, paralelamente al crecimiento del uso de código abierto, está el creciente riesgo de seguridad que representa el código abierto no administrado. De hecho, según el Informe OSSRA 2020, El 75% de las bases de código auditadas por Synopsys contienen componentes de código abierto con vulnerabilidades de seguridad conocidas. Para combatir esta situación, los encuestados citan la identificación de vulnerabilidades de seguridad conocidas como el criterio número uno al examinar nuevos componentes de código abierto.

"Está claro que las vulnerabilidades sin parchear son una fuente importante de problemas para los desarrolladores y, en última instancia, un riesgo comercial". dijo Tim Mackey, principal estratega de seguridad del Synopsys Cybersecurity Research Center. "El informe 'DevSecOps Practices and Open Source Management in 2020' destaca cómo las organizaciones están luchando para rastrear y administrar de manera efectiva su riesgo de código abierto".

“Más de la mitad (el 51%) dice que les lleva de dos a tres semanas aplicar un parche de código abierto”, continuó Mackey. “Es probable que esto esté relacionado con el hecho de que solo el 38% está utilizando una herramienta de análisis de composición de software (SCA) automatizada para identificar qué componentes de código abierto están en uso y cuándo se publican las actualizaciones. Las organizaciones restantes probablemente estén empleando procesos manuales para administrar el código abierto, procesos que pueden ralentizar los equipos de desarrollo y operaciones, obligándolos a ponerse al día con la seguridad en un clima en el que, en promedio, se publican docenas de nuevas divulgaciones de seguridad a diario ".

Otros hallazgos dignos de mención en el informe "Prácticas de DevSecOps y gestión de código abierto en 2020" incluyen:

  • DevSecOps está creciendo rápidamente en todo el mundo. Un 63% combinado de los encuestados informó que están incorporando alguna medida de las actividades de DevSecOps en sus canales de desarrollo de software.
  • No existe una herramienta de prueba de seguridad de aplicaciones (AST) de adopción universal. Como indican las respuestas a las preguntas de la encuesta, no hay escasez de herramientas y técnicas de prueba de seguridad de aplicaciones. Sin embargo, incluso la herramienta AST con la tasa de adopción más alta todavía solo es utilizada por menos de la mitad de los encuestados.
  • Los medios de comunicación juegan un papel importante en la gestión de riesgos de código abierto. El cuarenta y seis por ciento de los encuestados notó que la cobertura de los medios había llevado a su organización a aplicar controles más estrictos sobre el uso del código abierto.
  • El XNUMX% de los encuestados está definiendo estándares en torno a la edad de los componentes de código abierto que utilizan.. Un problema creciente en la comunidad de código abierto es la sostenibilidad del proyecto. A 2020 Estudio Synopsys mostró que el 91% de las bases de código auditadas en 2019 contenían componentes de código abierto que estaban desactualizados por más de cuatro años o no tenían actividad de desarrollo en los últimos dos años. Los riesgos de seguridad aumentan cuando se implementa código obsoleto, incluida la amenaza de secuestro de un componente de código abierto. Tal situación ocurrió en 2018 cuando el componente de flujo de eventos fue secuestrado para apuntar a Bitcoin en las cuentas de Copay.

Para obtener más información, descargue una copia del Prácticas de DevSecOps y gestión de código abierto en 2020 informar.

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###