91% des applications commerciales contenant des composants OSS obsolètes ou abandonnés - une étude Synopsys

20170912_synopysys_guidepic

Note de l'éditeur: Les logiciels open source (OSS), qu'ils soient sous forme finale ou en tant que composants pour faire partie d'un logiciel ou d'une application, sont de plus en plus populaires. Le code modulaire est la voie à suivre, et quel moyen plus simple alors de parcourir les référentiels et de rechercher des fragments de logiciels ou des modules que vous pouvez simplement brancher dans votre propre logiciel personnalisé? Économise du temps et de l'argent, non? Cependant, la commodité est souvent le fléau de la cybersécurité. Comme Synopsys l'a découvert, 91% des applications commerciales contiennent des composants OSS obsolètes ou même abandonnés, ce qui peut entraîner de graves risques et vulnérabilités de cybersécurité, dont certains peuvent même être irréparables. Un nouveau code peut devoir être écrit à partir de zéro pour remplacer un tel abandonware si aucune alternative n'est trouvée, moyennant des frais supplémentaires. Le communiqué de presse du fournisseur se trouve ci-dessous.

Une étude Synopsys montre que XNUMX% des applications commerciales contiennent des composants Open Source obsolètes ou abandonnés

L'analyse de plus de 1,250 bases de code commerciales révèle que la sécurité open source, la conformité des licences et le risque opérationnel restent répandus

SINGAPOUR, @mcgallen #microwireinfo, 13 mai 2020 - Synopsys, Inc. (Nasdaq: SNPS) a publié aujourd'hui le Rapport d'analyse des risques et de la sécurité Open Source 2020 (OSSRA). Le rapport, produit par le Centre de recherche sur la cybersécurité Synopsys (CyRC), examine les résultats de plus de 1,250 XNUMX audits de bases de codes commerciaux, réalisés par l'équipe Black Duck Audit Services. Le rapport met en évidence les tendances et les modèles d'utilisation de l'open source dans les applications commerciales, et fournit des informations et des recommandations pour aider les organisations à mieux gérer les risques open source du point de vue de la sécurité, de la conformité des licences et de l'exploitation.

Le rapport OSSRA 2020 réaffirme le rôle critique que joue l'open source dans l'écosystème logiciel actuel, révélant qu'effectivement toutes (99%) des bases de code auditées au cours de l'année écoulée contiennent au moins un composant open source, l'open source représentant 70% du code global. Plus notable est l'utilisation toujours généralisée de composants open source vieillissants ou abandonnés, avec 91% des bases de code contenant des composants qui étaient soit plus de quatre ans obsolètes, soit n'avaient connu aucune activité de développement au cours des deux dernières années.

La tendance la plus préoccupante de l'analyse de cette année est le risque de sécurité croissant posé par l'open source non géré, avec 75% des bases de code auditées contenant des composants open source avec des vulnérabilités de sécurité connues, contre 60% l'année précédente. De même, près de la moitié (49%) des bases de code contenaient risque élevé vulnérabilités, contre 40% seulement 12 mois auparavant.

«Il est difficile de rejeter le rôle vital que joue l'open source dans le développement et le déploiement de logiciels modernes, mais il est facile d'ignorer son impact sur la posture de risque de vos applications du point de vue de la sécurité et de la conformité des licences», a déclaré Tim Mackey, principal stratège en sécurité de Synopsys Centre de recherche sur la cybersécurité. «Le rapport OSSRA 2020 met en évidence la manière dont les entreprises continuent de lutter pour suivre et gérer efficacement leurs risques open source. Tenir à jour un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et le maintenir à jour est un point de départ essentiel pour faire face aux risques liés aux applications à plusieurs niveaux. »

Voici un résumé des tendances de risque open source les plus notables identifiées dans le rapport OSSRA 2020:

  • L'adoption de l'open source continue de monter en flèche. Quatre-vingt-dix-neuf pour cent des bases de code contiennent au moins une partie de l'open source, avec une moyenne de 445 composants open source par base de code - une augmentation significative par rapport à 298 en 2018. Soixante-dix pour cent du code audité a été identifié comme open source, un chiffre qui est passé de 60 % en 2018 et a presque doublé depuis 2015 (36%).
  • Les composants open source obsolètes et «abandonnés» sont omniprésents. Quatre-vingt-onze pour cent des bases de code contenaient des composants qui étaient obsolètes depuis plus de quatre ans ou n'avaient aucune activité de développement au cours des deux dernières années. Au-delà de la probabilité accrue que des vulnérabilités de sécurité existent, le risque d'utiliser des composants open source obsolètes est que leur mise à jour peut également introduire des fonctionnalités indésirables ou des problèmes de compatibilité.
  • L'utilisation de composants open source vulnérables a de nouveau tendance à augmenter. En 2019, le pourcentage de bases de code contenant des composants open source vulnérables est passé à 75% après être passé de 78% à 60% entre 2017 et 2018. De même, le pourcentage de bases de code contenant des vulnérabilités à haut risque est passé de 49% à 2019% en 40. en 2018. Heureusement, aucune des bases de code auditées en 2019 n'a été affectée par le tristement célèbre bogue Heartbleed ou la vulnérabilité Apache Struts qui hantait Equifax en 2017.
  • Les conflits de licences Open Source continuent de mettre la propriété intellectuelle en danger. Malgré sa réputation d'être «gratuit», le logiciel open source ne diffère pas de tout autre logiciel en ce que son utilisation est régie par une licence. Soixante-huit pour cent des bases de code contenaient une forme de conflit de licence open source, et 33% contenaient des composants open source sans licence identifiable. La prévalence des conflits de licences variait considérablement d'un secteur à l'autre, allant d'un maximum de 93% (Internet et applications mobiles) à un niveau relativement faible de 59% (réalité virtuelle, jeux, divertissement, médias).

Pour en savoir plus, téléchargez une copie du Rapport OSSRA 2020.

20200513_snps_ossra_2020_infogrp
Synopsys Open Source Security and Risk Analysis Report (OSSRA) 2020 - un instantané

À propos du groupe d'intégrité logicielle de Synopsys
Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###