Publié le

Note de l'éditeur: Alors que la crise mondiale a poussé les gouvernements et les entreprises à s'intéresser plus sérieusement à la maîtrise des coûts tout en s'attaquant aux retombées de la pandémie, l'adoption des logiciels libres (OSS) est devenue importante. Avec l'adoption de l'OSS à la fois au niveau de l'utilisateur final et aux étapes du SDLC (cycle de vie du développement logiciel), le besoin d'intégrité et de sécurité du code est devenu primordial. Cependant, la correction des composants OSS est-elle à jour? La version du fournisseur est ci-dessous.

L'étude Synopsys montre que la sécurité Open Source est une priorité mais que les correctifs sont trop lents

Une enquête mondiale menée auprès de 1,500 professionnels de l'informatique révèle que 40% des personnes interrogées dans le monde ont eu des horaires de livraison perturbés pour remédier aux vulnérabilités open source

SINGAPOUR, @mcgallen #microwireinfo, 9 décembre 2020 - Synopsys, Inc. (Nasdaq: SNPS) a publié aujourd'hui le rapport, Pratiques DevSecOps et gestion Open Source en 2020. Produit par le Centre de recherche sur la cybersécurité Synopsys (CyRC), le rapport met en évidence les résultats d'une enquête menée auprès de 1,500 XNUMX professionnels de l'informatique travaillant dans les domaines de la cybersécurité, du développement de logiciels, de l'ingénierie logicielle et du développement Web. Le rapport explore les stratégies que les organisations du monde entier utilisent pour traiter la gestion des vulnérabilités open source ainsi que le problème croissant des composants open source obsolètes ou abandonnés dans le code commercial.

L'open source joue un rôle essentiel dans l'écosystème logiciel actuel. La grande majorité des bases de code modernes contiennent des composants open source, l'open source représentant souvent 70% ou plus du code global. Pourtant, parallèlement à la croissance de l'utilisation de l'open source, il y a le risque de sécurité croissant posé par l'open source non géré. En fait, selon le Rapport OSSRA 2020, 75% des bases de code auditées par Synopsys contiennent des composants open source avec des vulnérabilités de sécurité connues. Pour lutter contre cette situation, les répondants à l'enquête citent l'identification des vulnérabilités de sécurité connues comme le critère numéro un lors de la vérification des nouveaux composants open source.

«Il est clair que les vulnérabilités non corrigées sont une source majeure de douleur pour les développeurs et, en fin de compte, de risques commerciaux.» a déclaré Tim Mackey, principal stratège en sécurité du Synopsys Cybersecurity Research Center. «Le rapport« DevSecOps Practices and Open Source Management in 2020 »met en évidence la façon dont les organisations ont du mal à suivre et gérer efficacement leurs risques open source.»

«Plus de la moitié - 51% - disent qu'il leur faut deux à trois semaines pour appliquer un correctif open source», a poursuivi Mackey. «Cela est probablement lié au fait que seulement 38% utilisent un outil d'analyse de composition logicielle automatisée (SCA) pour identifier les composants open source utilisés et quand les mises à jour sont publiées. Les organisations restantes utilisent probablement des processus manuels pour gérer l'open source - des processus qui peuvent ralentir les équipes de développement et d'exploitation, les obligeant à rattraper leur retard en matière de sécurité dans un climat où, en moyenne, des dizaines de nouvelles divulgations de sécurité sont publiées quotidiennement.

Parmi les autres résultats notables du rapport «DevSecOps Practices and Open Source Management in 2020», on peut citer:

  • DevSecOps se développe rapidement dans le monde entier. Au total, 63% des répondants ont indiqué qu'ils intégraient une certaine mesure des activités DevSecOps dans leurs pipelines de développement de logiciels.
  • Il n'y a pas d'outil de test de sécurité des applications (AST) universellement adopté. Comme l'indiquent les réponses aux questions de l'enquête, les outils et techniques de test de sécurité des applications ne manquent pas. Cependant, même l'outil AST avec le taux d'adoption le plus élevé n'est encore utilisé que par moins de la moitié des répondants.
  • Les médias jouent un rôle important dans la gestion des risques open source. Quarante-six pour cent des répondants ont noté que la couverture médiatique avait incité leur organisation à appliquer des contrôles plus stricts sur l'utilisation de l'open source.
  • Quarante-sept pour cent des répondants définissent des normes autour de l'âge des composants open source qu'ils utilisent. Un problème croissant dans la communauté open source est la durabilité des projets. Un 2020 Etude Synopsys a montré que 91% des bases de code auditées en 2019 contenaient des composants open source qui étaient obsolètes de plus de quatre ans ou n'avaient aucune activité de développement au cours des deux dernières années. Les risques de sécurité augmentent lorsque du code obsolète est déployé, y compris la menace de piratage d'un composant open source. Une telle situation s'est produite en 2018 lorsque le composant de flux d'événements a été détourné pour cibler Bitcoin dans les comptes Copay.

Pour en savoir plus, téléchargez une copie du Pratiques DevSecOps et gestion Open Source en 2020 signaler.

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ des entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous nous appuyons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys dispose des solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###