diposting di

Penjelasan singkat editor: Open Source Software (OSS) tidak hanya tentang perangkat lunak yang bebas untuk diadopsi, tetapi juga kumpulan besar pekerjaan baik yang dilakukan oleh sukarelawan pembuat kode dan auditor di dunia, membuat perangkat lunak dan komponen kode yang baik untuk diadopsi oleh siapa saja. Menurut laporan OSSRA (Open Source Security and Risk Analysis) 2021 terbaru oleh Synopsys Cybersecurity Research Center (CyRC), banyak industri mengadopsi OSS secara luas dan mendalam, termasuk martech, perawatan kesehatan, layanan keuangan, fintech, ritel, dan e-commerce. Lalu, apa risikonya dalam mengadopsi OSS? Rilis vendor ada di bawah.

Studi Synopsys Menunjukkan Uptick dalam Komponen Open Source Rentan, Kedaluwarsa, dan Terbengkalai dalam Perangkat Lunak Komersial 

Analisis terhadap lebih dari 1,500 basis kode komersial menemukan bahwa keamanan sumber terbuka, kepatuhan lisensi, dan masalah pemeliharaan tersebar luas di setiap sektor industri

SINGAPURA, @mcgallen #microwireinfo, 14 April 2021 - Synopsys, Inc.. (Nasdaq: SNPS) hari ini merilis Analisis Keamanan dan Risiko Open Source (OSSRA) 2021 melaporkan. Laporan, diproduksi oleh Synopsys Cybersecurity Research Center (CyRC), memeriksa hasil lebih dari 1,500 audit basis kode komersial, yang dilakukan oleh tim Layanan Audit Black Duck®. Laporan ini menyoroti tren penggunaan sumber terbuka dalam aplikasi komersial dan memberikan wawasan untuk membantu pengembang komersial dan sumber terbuka lebih memahami ekosistem perangkat lunak yang saling berhubungan tempat mereka menjadi bagiannya. Ini juga merinci risiko meluas yang ditimbulkan oleh sumber terbuka yang tidak dikelola, termasuk kerentanan keamanan, komponen usang atau ditinggalkan, dan masalah kepatuhan lisensi.

Laporan OSSRA 2021 menegaskan bahwa perangkat lunak sumber terbuka memberikan dasar untuk sebagian besar aplikasi di semua industri. Ini juga menunjukkan bahwa industri tersebut, pada tingkat yang berbeda, sedang berjuang untuk mengelola risiko open source.

  • 100% perusahaan yang diaudit di sektor industri teknologi pemasaran - yang mencakup CRM perolehan prospek, dan media sosial - berisi sumber terbuka dalam basis kode mereka. 95% dari basis kode teknologi pemasaran mengandung kerentanan open source.
  • 98% basis kode sektor perawatan kesehatan berisi sumber terbuka. 67% dari basis kode tersebut mengandung kerentanan.
  • 97% basis kode sektor jasa keuangan / tekfin menggunakan sumber terbuka. Lebih dari 60% dari basis kode tersebut mengandung kerentanan.
  • 92% basis kode di sektor ritel dan perdagangan elektronik mengandung sumber terbuka, dan 71% basis kode di sektor tersebut mengandung kerentanan.

Yang lebih memprihatinkan adalah meluasnya penggunaan komponen open source yang ditinggalkan. 91% basis kode yang mengkhawatirkan berisi dependensi open source yang tidak memiliki aktivitas pengembangan dalam dua tahun terakhir - artinya tidak ada peningkatan kode dan tidak ada perbaikan keamanan.

“Bahwa lebih dari 90% basis kode menggunakan sumber terbuka tanpa aktivitas pengembangan dalam dua tahun terakhir tidaklah mengejutkan,” kata Tim Mackey, ahli strategi keamanan utama di Pusat Penelitian Keamanan Siber Synopsys. “Tidak seperti perangkat lunak komersial, di mana vendor dapat memberikan informasi kepada penggunanya, sumber terbuka bergantung pada keterlibatan komunitas untuk berkembang. Ketika komponen open source diadopsi ke dalam penawaran komersial tanpa keterlibatan itu, vitalitas proyek dapat dengan mudah berkurang. Proyek yatim piatu bukanlah masalah baru, tetapi ketika terjadi, menangani masalah keamanan menjadi jauh lebih sulit. Solusinya sederhana - berinvestasilah dalam mendukung proyek yang Anda andalkan untuk kesuksesan Anda. ”

Tren risiko open source lainnya yang diidentifikasi dalam laporan OSSRA 2021 meliputi:

  • Komponen open source yang kedaluwarsa dalam perangkat lunak komersial adalah norma. 85% dari basis kode berisi dependensi open source yang lebih dari empat tahun kedaluwarsa. Tidak seperti proyek yang ditinggalkan, komponen open source yang sudah ketinggalan zaman ini memiliki komunitas pengembang aktif yang menerbitkan pembaruan dan patch keamanan yang tidak diterapkan oleh konsumen komersial hilir mereka. Di luar implikasi keamanan yang jelas karena mengabaikan penerapan tambalan, penggunaan komponen sumber terbuka yang kedaluwarsa dapat berkontribusi pada hutang teknis yang berat dalam bentuk masalah fungsionalitas dan kompatibilitas yang terkait dengan pembaruan di masa mendatang.
  • Prevalensi kerentanan open source cenderung ke arah yang salah. Pada tahun 2020, persentase basis kode yang berisi komponen sumber terbuka yang rentan naik menjadi 84% - meningkat 9% dari tahun 2019. Demikian pula, persentase basis kode yang berisi kerentanan berisiko tinggi melonjak dari 49% menjadi 60%. Beberapa dari 10 kerentanan sumber terbuka teratas yang ditemukan di basis kode pada tahun 2019 muncul kembali pada audit tahun 2020, semuanya dengan peningkatan persentase yang signifikan.
  • Lebih dari 90% basis kode yang diaudit berisi komponen open source dengan konflik lisensi, lisensi yang disesuaikan, atau tanpa lisensi sama sekali. 65% dari basis kode yang diaudit pada tahun 2020 mengandung konflik lisensi perangkat lunak sumber terbuka, biasanya melibatkan Lisensi Publik Umum GNU. 26% dari basis kode menggunakan sumber terbuka tanpa lisensi atau lisensi yang disesuaikan. Ketiga masalah tersebut seringkali perlu dievaluasi untuk potensi pelanggaran kekayaan intelektual dan masalah hukum lainnya, terutama dalam konteks transaksi merger dan akuisisi.

Untuk mempelajari lebih lanjut tentang potensi risiko yang terkait dengan perangkat lunak sumber terbuka dan cara mengatasinya, unduh salinan Laporan OSSRA 2021, membaca posting blog, atau daftar untuk tanggal 21 April webinar.

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di synopsys.com/software.

Tentang Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor tingkat lanjut, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di sinopsis.com.

# # #