kaca pembesar di dekat komputer laptop abu-abu

Healthcare, martech, fintech, dan retail mengadopsi perangkat lunak open source (OSS) dalam skala besar - apa risikonya? Cari tahu dari Laporan OSSRA 2021

Ringkasan editor: Open Source Software (OSS) bukan hanya tentang perangkat lunak yang bebas untuk diadopsi, tetapi juga kumpulan besar pekerjaan baik yang dilakukan oleh para pembuat kode dan auditor sukarelawan di dunia, membuat perangkat lunak dan komponen kode yang baik untuk diadopsi siapa saja. Menurut laporan terbaru OSSRA (Keamanan Sumber Terbuka dan Analisis Risiko) 2021 oleh Synopsys Cybersecurity Research Center (CyRC), banyak industri mengadopsi OSS secara luas dan mendalam, termasuk martech, kesehatan, layanan keuangan, fintech, ritel dan e-commerce. Lalu, apa saja risiko dalam mengadopsi OSS? Baca lebih lanjut di bawah ini.

SINGAPURA - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis Analisis Keamanan dan Risiko Open Source (OSSRA) 2021 melaporkan. Laporan, diproduksi oleh Synopsys Pusat Penelitian Keamanan Siber (CyRC), memeriksa hasil lebih dari 1,500 audit basis kode komersial, yang dilakukan oleh tim Layanan Audit Black Duck®. Laporan ini menyoroti tren penggunaan sumber terbuka dalam aplikasi komersial dan memberikan wawasan untuk membantu pengembang komersial dan sumber terbuka lebih memahami ekosistem perangkat lunak yang saling berhubungan tempat mereka menjadi bagiannya. Ini juga merinci risiko meluas yang ditimbulkan oleh sumber terbuka yang tidak dikelola, termasuk kerentanan keamanan, komponen usang atau ditinggalkan, dan masalah kepatuhan lisensi.

Laporan OSSRA 2021 menegaskan bahwa perangkat lunak sumber terbuka memberikan dasar untuk sebagian besar aplikasi di semua industri. Ini juga menunjukkan bahwa industri tersebut, pada tingkat yang berbeda, sedang berjuang untuk mengelola risiko open source.

  • 100% perusahaan yang diaudit di sektor industri teknologi pemasaran - yang mencakup CRM perolehan prospek, dan media sosial - berisi sumber terbuka dalam basis kode mereka. 95% dari basis kode teknologi pemasaran mengandung kerentanan open source.
  • 98% basis kode sektor perawatan kesehatan berisi sumber terbuka. 67% dari basis kode tersebut mengandung kerentanan.
  • 97% basis kode sektor jasa keuangan / tekfin menggunakan sumber terbuka. Lebih dari 60% dari basis kode tersebut mengandung kerentanan.
  • 92% basis kode di sektor ritel dan perdagangan elektronik mengandung sumber terbuka, dan 71% basis kode di sektor tersebut mengandung kerentanan.

Yang lebih memprihatinkan adalah meluasnya penggunaan komponen open source yang ditinggalkan. 91% basis kode yang mengkhawatirkan berisi dependensi open source yang tidak memiliki aktivitas pengembangan dalam dua tahun terakhir - artinya tidak ada peningkatan kode dan tidak ada perbaikan keamanan.

“Bahwa lebih dari 90% dari basis kode menggunakan open source tanpa aktivitas pengembangan dalam dua tahun terakhir tidak mengherankan,” kata Tim Mackey, ahli strategi keamanan utama dengan Synopsys Pusat Penelitian Keamanan Siber. “Tidak seperti perangkat lunak komersial, di mana vendor dapat mendorong informasi kepada penggunanya, open source bergantung pada keterlibatan komunitas untuk berkembang. Ketika komponen open source diadopsi ke dalam penawaran komersial tanpa keterlibatan itu, vitalitas proyek dapat dengan mudah berkurang. Proyek yatim piatu bukanlah masalah baru, tetapi ketika itu terjadi, menangani masalah keamanan menjadi jauh lebih sulit. Solusinya sederhana – berinvestasilah dalam mendukung proyek-proyek yang Anda andalkan untuk kesuksesan Anda.”

Tren risiko open source lainnya yang diidentifikasi dalam laporan OSSRA 2021 meliputi:

  • Komponen open source yang kedaluwarsa dalam perangkat lunak komersial adalah norma. 85% dari basis kode berisi dependensi open source yang lebih dari empat tahun kedaluwarsa. Tidak seperti proyek yang ditinggalkan, komponen open source yang sudah ketinggalan zaman ini memiliki komunitas pengembang aktif yang menerbitkan pembaruan dan patch keamanan yang tidak diterapkan oleh konsumen komersial hilir mereka. Di luar implikasi keamanan yang jelas karena mengabaikan penerapan tambalan, penggunaan komponen sumber terbuka yang kedaluwarsa dapat berkontribusi pada hutang teknis yang berat dalam bentuk masalah fungsionalitas dan kompatibilitas yang terkait dengan pembaruan di masa mendatang.
  • Prevalensi kerentanan open source cenderung ke arah yang salah. Pada tahun 2020, persentase basis kode yang berisi komponen sumber terbuka yang rentan naik menjadi 84% - meningkat 9% dari tahun 2019. Demikian pula, persentase basis kode yang berisi kerentanan berisiko tinggi melonjak dari 49% menjadi 60%. Beberapa dari 10 kerentanan sumber terbuka teratas yang ditemukan di basis kode pada tahun 2019 muncul kembali pada audit tahun 2020, semuanya dengan peningkatan persentase yang signifikan.
  • Lebih dari 90% basis kode yang diaudit berisi komponen open source dengan konflik lisensi, lisensi yang disesuaikan, atau tanpa lisensi sama sekali. 65% dari basis kode yang diaudit pada tahun 2020 mengandung konflik lisensi perangkat lunak sumber terbuka, biasanya melibatkan Lisensi Publik Umum GNU. 26% dari basis kode menggunakan sumber terbuka tanpa lisensi atau lisensi yang disesuaikan. Ketiga masalah tersebut seringkali perlu dievaluasi untuk potensi pelanggaran kekayaan intelektual dan masalah hukum lainnya, terutama dalam konteks transaksi merger dan akuisisi.

Untuk mempelajari lebih lanjut tentang potensi risiko yang terkait dengan perangkat lunak sumber terbuka dan cara mengatasinya, unduh salinan Laporan OSSRA 2021, atau baca posting blog.

# # #