El estudio de Synopsys de más de 1,200 aplicaciones comerciales y bibliotecas encuentra que la mayoría todavía contiene vulnerabilidades de seguridad de código abierto y conflictos de licencias.

20171108_synopsys_coverityfeat

Singapur, @mcgallen #microwireinfo, 8 de mayo de 2019 - Synopsys, Inc. (Nasdaq: SNPS) publicó hoy el Informe de análisis de riesgos y seguridad de código abierto (OSSRA) de 2019. El informe, elaborado por el Centro de investigación de seguridad cibernética de Synopsys (CyRC), examina los resultados de más de 1,200 auditorías de aplicaciones comerciales y bibliotecas, realizadas por el equipo de Black Duck Audit Services. El informe destaca las tendencias y patrones en el uso de código abierto, así como la prevalencia de componentes de código abierto inseguros y conflictos de licencias.

Como se muestra en el informe, muchas de las tendencias en el uso del código abierto que han presentado desafíos de gestión de riesgos a las organizaciones en años anteriores persisten en la actualidad. Sin embargo, los datos también sugieren que se ha alcanzado un punto de inflexión, con muchas organizaciones mejorando su capacidad para gestionar el riesgo de código abierto, posiblemente debido a una mayor conciencia y la maduración de las soluciones comerciales de análisis de composición de software.

"El código abierto juega un papel cada vez más vital en el desarrollo y la implementación de software moderno, pero para darse cuenta de su valor, las organizaciones deben comprender y administrar cómo afecta su postura de riesgo desde una perspectiva de seguridad y cumplimiento de licencias", dijo Tim Mackey, estratega principal de seguridad de el Centro de Investigación en Ciberseguridad Synopsys. “El informe OSSRA de 2019 ofrece un vistazo al estado de la gestión de riesgos de código abierto dentro de las aplicaciones comerciales. Muestra que todavía existen desafíos importantes, con la mayoría de las aplicaciones que contienen vulnerabilidades de seguridad de código abierto y conflictos de licencias. Pero también destaca que estos desafíos se pueden abordar, ya que la cantidad de vulnerabilidades de código abierto y conflictos de licencias ha disminuido con respecto al año anterior ".

Algunas de las tendencias de riesgo de código abierto más notables identificadas en el informe OSSRA de 2019 incluyen:

  • Ha habido un aumento significativo en la adopción de código abierto. El noventa y seis por ciento de las bases de código auditadas en 2018 contenían componentes de código abierto, con un promedio de 298 componentes de código abierto por base de código en comparación con 257 en 2017.
  • Los conflictos de licencias de código abierto pueden poner en riesgo la propiedad intelectual. El sesenta y ocho por ciento de las bases de código contenían algún tipo de conflicto de licencias de código abierto y el 38% contenían componentes de código abierto sin licencia identificable.
  • El uso de componentes "abandonados" es común. El ochenta y cinco por ciento de las bases de código contenían componentes que estaban desactualizados durante más de cuatro años o que no se habían desarrollado en los últimos dos años. Si un componente está inactivo y nadie lo está manteniendo, eso significa que nadie está abordando sus posibles vulnerabilidades.
  • Muchas organizaciones no logran parchear o actualizar sus componentes de código abierto. La antigüedad promedio de las vulnerabilidades identificadas en las auditorías Black Duck de 2018 fue de 6.6 años, un poco más alta que en 2017, lo que sugiere que los esfuerzos de remediación no han mejorado significativamente. El cuarenta y tres por ciento de las bases de código escaneadas en 2018 contenían vulnerabilidades de más de 10 años. Cuando se ve en el contexto de la base de datos nacional de vulnerabilidades que agregó más de 16,500 nuevas vulnerabilidades en 2018, sus procesos de parches claros deben escalar para adaptarse al aumento de las divulgaciones.
  • No todas las vulnerabilidades son iguales, pero muchas organizaciones ni siquiera abordan las más riesgosas. Más del 40% de las bases de código contenían al menos una vulnerabilidad de código abierto de alto riesgo.

El informe señala que el uso de software de código abierto no es un problema en sí mismo y, de hecho, es esencial para la innovación de software. Pero no identificar y administrar de manera proactiva los riesgos de seguridad y licencia asociados con el uso de componentes de código abierto puede ser muy perjudicial. A pesar de los factores de riesgo identificados, los datos de OSSRA de 2019 sugieren que, a raíz de la brecha de Equifax, un aumento en la conciencia del riesgo de código abierto y la maduración de las soluciones de análisis de composición de software comercial ha llevado a un progreso hacia adelante:

  • Las organizaciones están mejorando en la gestión de vulnerabilidades de seguridad de código abierto. El sesenta por ciento de las bases de código auditadas en 2018 contenían al menos una vulnerabilidad, aún significativa, pero mucho mejor que la cifra del 78% de 2017.
  • En general, el cumplimiento de las licencias de código abierto también ha mejorado. El sesenta y ocho por ciento de las bases de código auditadas de 2018 contenían componentes con conflictos de licencia, en comparación con el 74% en 2017.

Para obtener más información, descargue una copia del Informe OSSRA 2019.

Acerca de la plataforma de integridad del software Synopsys
Synopsys Software Integrity Group ayuda a las organizaciones a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en http://www.synopsys.com/software.

Sobre Synopsys
Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###