Synopsys L'étude de plus de 1,200 applications et bibliothèques commerciales révèle qu'une majorité contient encore des vulnérabilités de sécurité open source et des conflits de licence

20171108_synopsys_coverityfeat

Singapour, @mcgallen #microwireinfo, 8 mai 2019 - Synopsys, Inc. (Nasdaq: SNPS) a publié aujourd'hui le Rapport d'analyse des risques et de la sécurité Open Source 2019 (OSSRA). Le rapport, produit par le Centre de recherche sur la cybersécurité Synopsys (CyRC), examine les résultats de plus de 1,200 XNUMX audits d'applications commerciales et de bibliothèques, réalisés par l'équipe Black Duck Audit Services. Le rapport met en évidence les tendances et les modèles d'utilisation de l'open source, ainsi que la prévalence des composants open source non sécurisés et des conflits de licence.

Comme le montre le rapport, bon nombre des tendances d'utilisation de l'open source qui ont posé des problèmes de gestion des risques aux organisations au cours des années précédentes persistent aujourd'hui. Cependant, les données suggèrent également qu'un point d'inflexion a été atteint, de nombreuses organisations améliorant leur capacité à gérer les risques open source, probablement en raison d'une sensibilisation accrue et de la maturation des solutions d'analyse de composition logicielle commerciale.

«L'open source joue un rôle de plus en plus vital dans le développement et le déploiement de logiciels modernes, mais pour réaliser sa valeur, les entreprises doivent comprendre et gérer son impact sur leur posture de risque du point de vue de la sécurité et de la conformité des licences», a déclaré Tim Mackey, principal stratège en sécurité de le Centre de recherche sur la cybersécurité Synopsys. «Le rapport OSSRA 2019 donne un aperçu de l'état de la gestion des risques open source dans les applications commerciales. Cela montre qu'il existe encore des défis importants, la majorité des applications contenant des vulnérabilités de sécurité open source et des conflits de licence. Mais cela souligne également que ces défis peuvent être relevés, car le nombre de vulnérabilités open source et de conflits de licences a diminué par rapport à l'année précédente. »

Certaines des tendances de risque open source les plus notables identifiées dans le rapport OSSRA 2019 incluent:

  • Il y a eu une augmentation significative de l'adoption de l'open source. Quatre-vingt-seize pour cent des bases de code auditées en 2018 contenaient des composants open source, avec une moyenne de 298 composants open source par code base contre 257 en 2017.
  • Les conflits de licence open source peuvent mettre la propriété intellectuelle en danger. Soixante-huit pour cent des bases de code contenaient une forme de conflit de licence open source, et 38% contenaient des composants open source sans licence identifiable.
  • L'utilisation de composants «abandonnés» est courante. Quatre-vingt-cinq pour cent des bases de code contenaient des composants qui étaient obsolètes depuis plus de quatre ans ou qui n'avaient pas été développés au cours des deux dernières années. Si un composant est inactif et que personne ne le maintient, cela signifie que personne ne corrige ses vulnérabilités potentielles.
  • De nombreuses organisations ne parviennent pas à corriger ou à mettre à jour leurs composants open source. L'âge moyen des vulnérabilités identifiées lors des audits Black Duck 2018 était de 6.6 ans, légèrement plus élevé qu'en 2017, ce qui suggère que les efforts de correction ne se sont pas améliorés de manière significative. Quarante-trois pour cent des bases de code analysées en 2018 contenaient des vulnérabilités de plus de 10 ans. Considérés dans le contexte de l'ajout de plus de 16,500 nouvelles vulnérabilités à la base de données nationale sur les vulnérabilités en 2018, ses processus de correctifs clairs doivent évoluer pour s'adapter à l'augmentation des divulgations.
  • Toutes les vulnérabilités ne se valent pas, mais de nombreuses organisations ne s'attaquent même pas aux plus risquées. Plus de 40% des bases de code contenaient au moins une vulnérabilité open source à haut risque.

Le rapport note que l'utilisation de logiciels open source n'est pas un problème en soi et est, en fait, essentielle à l'innovation logicielle. Mais ne pas identifier et gérer de manière proactive les risques de sécurité et de licence associés à l'utilisation de composants open source peut être très dommageable. Malgré les facteurs de risque identifiés, les données de l'OSSRA 2019 suggèrent qu'à la suite de la brèche d'Equifax, une prise de conscience accrue du risque open source et la maturation des solutions d'analyse de composition logicielle commerciale ont conduit à des progrès:

  • Les organisations s'améliorent dans la gestion des vulnérabilités de sécurité open source. Soixante pour cent des bases de code auditées en 2018 contenaient au moins une vulnérabilité - toujours significative, mais bien meilleure que le chiffre de 78% de 2017.
  • Dans l'ensemble, la conformité des licences open source s'est également améliorée. Soixante-huit pour cent des bases de code auditées en 2018 contenaient des composants avec des conflits de licence, contre 74% en 2017.

Pour en savoir plus, téléchargez une copie du Rapport OSSRA 2019.

À propos de la plateforme d'intégrité logicielle Synopsys
Synopsys Software Integrity Group aide les organisations à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, un leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts dans le code propriétaire, les composants open source et le comportement des applications. Grâce à une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur http://www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ des entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous nous appuyons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys dispose des solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###