El informe de Synopsys encuentra que la mayoría del software está plagado de vulnerabilidades conocidas y conflictos de licencias a medida que aumenta la adopción de código abierto

20171108_synopsys_coverityfeat

Los hallazgos muestran que un tercio de las bases de código auditadas que contenían Apache Struts también tenían la vulnerabilidad que resultó en la violación de Equifax.

Singapur, @mcgallen #microwireinfo, 15 de mayo de 2018 - Synopsys, Inc. (Nasdaq: SNPS) publicó hoy el informe Black Duck by Synopsys 2018 Open Source Security and Risk Analysis (OSSRA), que examina los hallazgos de los datos anónimos de más de 1,100 bases de códigos comerciales auditadas en 2017 Las industrias representadas en el informe incluyen los mercados de automoción, big data, ciberseguridad, software empresarial, servicios financieros, atención médica, Internet de las cosas (IoT), fabricación y aplicaciones móviles.

El informe destaca un repunte masivo en la adopción de código abierto, con el 96 por ciento de las aplicaciones escaneadas que contienen componentes de código abierto. Los datos también muestran que el número promedio de componentes de código abierto encontrados por código base (257) creció en un 75 por ciento con respecto al año anterior, y muchas aplicaciones contienen más código abierto que código propietario. Lo preocupante es que el 78 por ciento de las bases de código examinadas contenían al menos una vulnerabilidad de código abierto, con un promedio de 64 vulnerabilidades por base de código. Más del 54 por ciento de las vulnerabilidades encontradas en bases de código auditadas se consideran vulnerabilidades de alto riesgo. El diecisiete por ciento de las bases de código contenían una vulnerabilidad muy publicitada como Heartbleed, Logjam, Freak, Drown o Poodle.

“Dado que el software y la infraestructura modernos dependen en gran medida de las tecnologías de código abierto, tener una visión clara de los componentes en uso es una parte clave del gobierno corporativo”, dijo Tim Mackey, evangelista técnico de Black Duck by Synopsys. “El informe demuestra claramente que con el crecimiento en el uso de código abierto, las organizaciones deben asegurarse de tener las herramientas para detectar vulnerabilidades en componentes de código abierto y administrar cualquier cumplimiento de licencia que pueda requerir su uso de código abierto”.

Se encontraron componentes de código abierto vulnerables en aplicaciones de todas las industrias. La vertical de infraestructura de software e Internet tuvo la proporción más alta (67 por ciento) de aplicaciones que contienen vulnerabilidades de código abierto de alto riesgo. Irónicamente, se descubrió que el 41 por ciento de las aplicaciones en la industria de la seguridad cibernética tenían vulnerabilidades de código abierto de alto riesgo, lo que coloca a esa vertical en el cuarto mayor riesgo.

Además, el 33 por ciento de las bases de código auditadas que contenían Apache Struts también contenían la vulnerabilidad que resultó en la violación de Equifax. El informe muestra claramente que las organizaciones están permitiendo que se acumule un número creciente de vulnerabilidades en sus bases de código. En promedio, las vulnerabilidades identificadas en las auditorías se revelaron hace casi seis años.

“Cuando Equifax fue violada por la vulnerabilidad de Apache Struts, la necesidad de una gestión de seguridad de código abierto se convirtió en noticia de primera plana”, dijo Evan Klein, gerente de marketing de productos de Black Duck responsable del informe OSSRA. "Sin embargo, a pesar de que se reveló en marzo de 2017, muchas organizaciones aparentemente todavía no han verificado sus aplicaciones en busca de la vulnerabilidad Struts".

Según los hallazgos, el 74 por ciento de las bases de código auditadas también contenían componentes con conflictos de licencia, los más comunes de los cuales eran violaciones de la licencia GPL. El porcentaje de aplicaciones con conflictos de licencias dentro de verticales varió desde el relativamente bajo 61 por ciento de la industria minorista y comercio electrónico hasta el alto de la industria de telecomunicaciones e inalámbrica, donde el 100 por ciento del código escaneado tenía algún tipo de conflicto de licencia de fuente abierta.

Para descargar el informe de OSSRA, visite https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

Acerca de la plataforma de integridad del software Synopsys
Synopsys Software Integrity Group ayuda a las organizaciones a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a maximizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys
Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###