91% de las aplicaciones comerciales que tienen componentes OSS obsoletos o abandonados: un estudio de Synopsys

20170912_synopysys_guidepic

Resumen del editor: El software de código abierto (OSS), ya sea en forma terminada o como componentes para formar parte de un software o aplicación, se está volviendo cada vez más popular. El código modular es el camino a seguir, y ¿qué manera más fácil de rastrear repositorios y buscar fragmentos de software o módulos que puede simplemente conectar a su propio software personalizado? Ahorra tiempo y dinero, ¿verdad? Sin embargo, la conveniencia es a menudo la pesadilla de la ciberseguridad. Como descubrió Synopsys, el 91% de las aplicaciones comerciales contienen componentes de OSS obsoletos o incluso abandonados, que pueden causar graves riesgos y vulnerabilidades de ciberseguridad, algunos de los cuales incluso pueden ser irreparables. Es posible que sea necesario escribir código nuevo desde cero para reemplazar dicho software abandonado si no se encuentran alternativas, a un costo adicional. El comunicado de prensa del proveedor se encuentra a continuación.

El estudio de Synopsys muestra que el noventa y uno por ciento de las aplicaciones comerciales contienen componentes de código abierto obsoletos o abandonados

El análisis de más de 1,250 bases de códigos comerciales revela que la seguridad de código abierto, el cumplimiento de las licencias y el riesgo operativo siguen estando generalizados.

SINGAPUR, @mcgallen #microwireinfo, 13 de mayo de 2020 , Synopsys, Inc. (Nasdaq: SNPS) lanzó hoy el Informe de análisis de riesgos y seguridad de código abierto (OSSRA) de 2020. El informe, elaborado por el Centro de investigación de seguridad cibernética de Synopsys (CyRC), examina los resultados de más de 1,250 auditorías de bases de código comerciales, realizadas por el equipo de Black Duck Audit Services. El informe destaca tendencias y patrones en el uso de código abierto dentro de aplicaciones comerciales y proporciona información y recomendaciones para ayudar a las organizaciones a administrar mejor el riesgo de código abierto desde una perspectiva operativa, de seguridad y de cumplimiento de licencias.

El informe OSSRA 2020 reafirma el papel fundamental que desempeña el código abierto en el ecosistema de software actual, revelando que efectivamente todas (99%) de las bases de código auditadas durante el año pasado contienen al menos un componente de código abierto, y el código abierto comprende el 70% del código en general. Más notable es el uso generalizado continuo de componentes de código abierto obsoletos o abandonados, con el 91% de las bases de código que contienen componentes que estaban desactualizados durante más de cuatro años o que no habían tenido actividad de desarrollo en los últimos dos años.

La tendencia más preocupante en el análisis de este año es el creciente riesgo de seguridad que representa el código abierto no administrado, con el 75% de las bases de código auditadas que contienen componentes de código abierto con vulnerabilidades de seguridad conocidas, frente al 60% del año anterior. Del mismo modo, casi la mitad (49%) de las bases de código contenían alto riesgo vulnerabilidades, en comparación con el 40% solo 12 meses antes.

"Es difícil descartar el papel vital que juega el código abierto en el desarrollo y la implementación de software moderno, pero es fácil pasar por alto cómo afecta la postura de riesgo de su aplicación desde una perspectiva de seguridad y cumplimiento de licencias", dijo Tim Mackey, estratega principal de seguridad de Synopsys Centro de Investigación en Ciberseguridad. “El informe OSSRA 2020 destaca cómo las organizaciones continúan luchando para rastrear y administrar de manera efectiva su riesgo de código abierto. Mantener un inventario preciso de los componentes de software de terceros, incluidas las dependencias de código abierto, y mantenerlo actualizado es un punto de partida clave para abordar el riesgo de las aplicaciones en múltiples niveles ”.

A continuación, se incluye un resumen de las tendencias de riesgo de código abierto más notables identificadas en el informe OSSRA de 2020:

  • La adopción de código abierto sigue aumentando. El noventa y nueve por ciento de las bases de código contienen al menos algo de código abierto, con un promedio de 445 componentes de código abierto por base de código, un aumento significativo de 298 en 2018. El setenta por ciento del código auditado se identificó como fuente abierta, una cifra que aumentó de 60 % en 2018 y casi se ha duplicado desde 2015 (36%).
  • Los componentes de código abierto obsoletos y "abandonados" son omnipresentes. El noventa y uno por ciento de las bases de código contenían componentes que estaban desactualizados por más de cuatro años o que no tenían actividad de desarrollo en los últimos dos años. Más allá de la mayor probabilidad de que existan vulnerabilidades de seguridad, el riesgo de utilizar componentes de código abierto desactualizados es que actualizarlos también puede introducir problemas de compatibilidad o funcionalidad no deseada.
  • El uso de componentes de código abierto vulnerables tiene una tendencia al alza nuevamente. En 2019, el porcentaje de bases de código que contienen componentes de código abierto vulnerables aumentó al 75% después de caer del 78% al 60% entre 2017 y 2018. De manera similar, el porcentaje de bases de código que contienen vulnerabilidades de alto riesgo aumentó de 49% a 2019% en 40. en 2018. Afortunadamente, ninguna de las bases de código auditadas en 2019 se vio afectada por el infame error Heartbleed o la vulnerabilidad Apache Struts que acechaba a Equifax en 2017.
  • Los conflictos de licencias de código abierto continúan poniendo en riesgo la propiedad intelectual. A pesar de su reputación de ser "gratuito", el software de código abierto no se diferencia de ningún otro software en que su uso se rige por una licencia. El sesenta y ocho por ciento de las bases de código contenían algún tipo de conflicto de licencias de código abierto, y el 33% contenía componentes de código abierto sin licencia identificable. La prevalencia de conflictos de licencias varió significativamente según la industria, desde un 93% (Internet y aplicaciones móviles) hasta un 59% relativamente bajo (Realidad virtual, Juegos, Entretenimiento, Medios).

Para obtener más información, descargue una copia del Informe OSSRA 2020.

20200513_snps_ossra_2020_infogrp
Informe de análisis de riesgos y seguridad de código abierto de Synopsys (OSSRA) 2020: una instantánea

Acerca del grupo de integridad del software Synopsys
Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys
Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###