Publicado el

Resumen del editor: la integridad y la seguridad del software son primordiales en estos días, con la cadena de suministro de software ocupando un lugar central en medio de la inestabilidad global actual. El proveedor líder en integridad y seguridad de software, Synopsys, ha publicado el informe 2022 Open Source Security and Risk Analysis (OSSRA). Si bien un análisis de más de 2,400 bases de código comerciales y patentadas mostró disminuciones en la licencia de código abierto y los riesgos de vulnerabilidad, el informe advirtió que el 88% de las organizaciones aún se quedan atrás en mantener actualizado el código abierto. El informe reveló que el 20 % de las bases de código evaluadas contenían código abierto sin licencia o con una licencia personalizada. El comunicado del proveedor se encuentra a continuación.

Synopsys El estudio destaca los principales desafíos de la gestión del riesgo de código abierto en las cadenas de suministro de software

El análisis de más de 2,400 bases de código comerciales y propietarias encuentra disminuciones en la licencia de código abierto y los riesgos de vulnerabilidad, pero el 88 % de las organizaciones siguen atrasadas en mantener actualizado el código abierto.

SINGAPUR, @mcgallen #microwireinfo, 13 de abril de 2022 , Synopsys, Inc. (Nasdaq: SNPS) lanzó hoy el Informe de análisis de riesgos y seguridad de código abierto (OSSRA) de 2022. El informe, elaborado por el Synopsys Centro de investigación de ciberseguridad (CyRC), examina los resultados de más de 2,400 auditorías de bases de código comerciales y propietarias de transacciones de fusiones y adquisiciones, realizadas por el equipo de servicios de auditoría de Black Duck®. El informe destaca las tendencias en el uso de código abierto dentro de las aplicaciones comerciales y propietarias y proporciona información para ayudar a los desarrolladores a comprender mejor el ecosistema de software interconectado. También detalla los riesgos generalizados que plantea el código abierto no administrado, incluidas las vulnerabilidades de seguridad, los componentes obsoletos o abandonados y los problemas de cumplimiento de licencias.

Los hallazgos del informe OSSRA de 2022 subrayan el hecho de que el código abierto se usa en todas partes, en todas las industrias, y es la base de todas las aplicaciones creadas hoy.

  • El código abierto obsoleto sigue siendo la norma, incluida la presencia de versiones vulnerables de Log4j. Desde una perspectiva de mantenimiento/riesgo operativo, el 85 % de las 2,097 bases de código contenían código abierto que tenía más de cuatro años de desactualización. El 88% utilizó componentes que no eran la última versión disponible. El 5% contenía una versión vulnerable de Log4j.
  • Las bases de código evaluadas muestran que las vulnerabilidades de código abierto están disminuyendo en general. 2,097 de las bases de código evaluadas incluyeron evaluaciones de seguridad y riesgo operativo. Hubo una disminución más dramática en la cantidad de bases de código que contenían vulnerabilidades de código abierto de alto riesgo. El 49 % de las bases de código auditadas de este año contenían al menos una vulnerabilidad de alto riesgo, en comparación con el 60 % del año pasado. Además, el 81 % de las bases de código evaluadas contenían al menos una vulnerabilidad de código abierto conocida, una disminución mínima del 3 % con respecto a los hallazgos de la OSSRA de 2021.
  • Los conflictos de licencia también están disminuyendo en general. Más de la mitad (53 %) de las bases de código contenían conflictos de licencia, una disminución sustancial del 65 % observado en 2020. En general, los conflictos de licencia específicos disminuyeron en todos los ámbitos entre 2020 y 2021.
  • El 20% de las bases de código evaluadas contenían código abierto sin licencia o con una licencia personalizada. Dado que una licencia de software rige el derecho a usarlo, el software sin licencia presenta el dilema de si el uso del componente de código abierto implica un riesgo legal. Además, las licencias de código abierto personalizadas pueden imponer requisitos no deseados al licenciatario y, a menudo, requerirán una evaluación legal para posibles problemas de propiedad intelectual u otras implicaciones.

“Los usuarios del software SCA han centrado su atención en reducir los problemas de licencias de código abierto y abordar las vulnerabilidades de alto riesgo, y ese esfuerzo se refleja en las disminuciones que vimos este año en los conflictos de licencias y las vulnerabilidades de alto riesgo”, dijo Tim Mackey, estratega principal de seguridad. con el Synopsys Centro de Investigación en Ciberseguridad. “El hecho es que más de la mitad de las bases de código que auditamos aún contenían conflictos de licencia y casi la mitad aún contenía vulnerabilidades de alto riesgo. Aún más preocupante fue que el 88% de las bases de código [con evaluaciones de riesgo] contenían versiones obsoletas de componentes de código abierto con una actualización o parche disponible que no se aplicó”.

“Hay razones justificables para no mantener el software completamente actualizado”, continuó Mackey. “Pero, a menos que una organización mantenga un inventario preciso y actualizado del código abierto utilizado en su código, un componente desactualizado puede olvidarse hasta que se vuelva vulnerable a un exploit de alto riesgo, y luego la lucha para identificar dónde está. en uso y para actualizarlo está activado. Esto es precisamente lo que ocurrió con Log4j, y por qué las cadenas de suministro de software y la lista de materiales de software (SBOM) son temas tan candentes”.

Para obtener más información sobre los riesgos potenciales asociados con el software de código abierto y cómo abordarlos, descargar una copia del informe OSSRA 2022, leer la publicación del blog, o registrarse para el seminario web del 22 de abril.

Acerca de Synopsys Grupo de integridad de software

Synopsys Software Integrity Group proporciona soluciones integradas que transforman la forma en que los equipos de desarrollo construyen y entregan software, acelerando la innovación mientras abordan el riesgo empresarial. Nuestra cartera líder en la industria de productos y servicios de seguridad de software es la más completa del mundo e interactúa con herramientas de código abierto y de terceros, lo que permite a las organizaciones aprovechar las inversiones existentes para crear el programa de seguridad que sea mejor para ellas. Solamente Synopsys ofrece todo lo que necesita para generar confianza en su software. Obtenga más información en www.synopsys.com/software.

Nosotros Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en los que confiamos todos los días. Como empresa S&P 500, Synopsys tiene una larga historia como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y ofrece la cartera más amplia de la industria de herramientas y servicios de prueba de seguridad de aplicaciones. Tanto si es un diseñador de sistemas en chip (SoC) que crea semiconductores avanzados como si es un desarrollador de software que escribe código más seguro y de alta calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores. Obtenga más información en www.synopsys.com.

###