lebih banyak kode di layar

Synopsys survei global menemukan keamanan sumber terbuka sebagai yang utama tetapi tambalan sedang mengejar ketinggalan

Ringkasan editor: Sementara krisis global telah mendorong pemerintah dan bisnis untuk melihat lebih serius pada pengendalian biaya sementara juga mengatasi dampak pandemi, adopsi perangkat lunak sumber terbuka (OSS) menjadi penting. Dengan adopsi OSS baik di tingkat pengguna akhir maupun di tahap SDLC (siklus hidup pengembangan perangkat lunak), kebutuhan akan integritas dan keamanan kode menjadi sangat penting. Namun, apakah proses patching komponen OSS sudah sesuai? Baca lebih lanjut di bawah ini.

SINGAPURA - Synopsys, Inc (Nasdaq: SNPS) hari ini merilis laporan, Praktik DevSecOps dan Manajemen Sumber Terbuka pada tahun 2020. Diproduksi oleh Synopsys Pusat Penelitian Keamanan Siber (CyRC), laporan tersebut menyoroti temuan dari survei terhadap 1,500 profesional TI yang bekerja di keamanan dunia maya, pengembangan perangkat lunak, rekayasa perangkat lunak, dan pengembangan web. Laporan ini mengeksplorasi strategi yang digunakan organisasi di seluruh dunia untuk menangani manajemen kerentanan open source serta masalah yang berkembang dari komponen open source yang sudah ketinggalan zaman atau ditinggalkan dalam kode komersial.

Sumber terbuka memainkan peran penting dalam ekosistem perangkat lunak saat ini. Sebagian besar basis kode modern berisi komponen sumber terbuka, dengan sumber terbuka sering kali mencakup 70% atau lebih dari keseluruhan kode. Namun sejalan dengan pertumbuhan penggunaan open source adalah meningkatnya risiko keamanan yang ditimbulkan oleh open source yang tidak terkelola. Padahal, menurut Laporan OSSRA 2020, 75% dari basis kode yang diaudit oleh Synopsys berisi komponen open source dengan kerentanan keamanan yang diketahui. Untuk mengatasi situasi ini, responden survei menyebutkan identifikasi kerentanan keamanan yang diketahui sebagai kriteria nomor satu saat memeriksa komponen open source baru.

“Jelas bahwa kerentanan yang tidak ditambal adalah sumber utama kesulitan pengembang, dan pada akhirnya risiko bisnis.” kata Tim Mackey, ahli strategi keamanan utama dari Synopsys Pusat Penelitian Keamanan Siber. “Laporan 'Praktik DevSecOps dan Manajemen Sumber Terbuka pada tahun 2020' menyoroti bagaimana organisasi berjuang untuk melacak dan mengelola risiko sumber terbuka mereka secara efektif."

“Lebih dari setengah - 51% - katakanlah butuh dua hingga tiga minggu bagi mereka untuk menerapkan tambalan sumber terbuka,” lanjut Mackey. “Ini mungkin terkait dengan fakta bahwa hanya 38% yang menggunakan alat analisis komposisi perangkat lunak otomatis (SCA) untuk mengidentifikasi komponen sumber terbuka mana yang digunakan dan kapan pembaruan dirilis. Organisasi yang tersisa mungkin menggunakan proses manual untuk mengelola open source - proses yang dapat memperlambat tim pengembangan dan operasi, memaksa mereka mengejar ketertinggalan keamanan dalam iklim di mana, rata-rata, lusinan pengungkapan keamanan baru dipublikasikan setiap hari. ”

Temuan penting lainnya dalam laporan "Praktik DevSecOps dan Manajemen Open Source di 2020" meliputi:

  • DevSecOps berkembang pesat di seluruh dunia. Gabungan 63% responden melaporkan bahwa mereka menggabungkan beberapa ukuran aktivitas DevSecOps ke dalam pipeline pengembangan perangkat lunak mereka.
  • Tidak ada alat pengujian keamanan aplikasi (AST) yang diadopsi secara universal. Seperti yang ditunjukkan oleh jawaban atas pertanyaan survei, tidak ada kekurangan alat dan teknik pengujian keamanan aplikasi. Namun, bahkan alat AST dengan tingkat adopsi tertinggi masih hanya digunakan oleh kurang dari setengah responden.
  • Media memainkan peran penting dalam manajemen risiko open source. Empat puluh enam persen responden mencatat bahwa liputan media telah mendorong organisasi mereka untuk menerapkan kontrol yang lebih ketat pada penggunaan open source.
  • Empat puluh tujuh persen responden mendefinisikan standar seputar usia komponen open source yang mereka gunakan. Masalah yang berkembang dalam komunitas open source adalah keberlanjutan proyek. A 2020 Synopsys belajar menunjukkan bahwa 91% basis kode yang diaudit pada tahun 2019 berisi komponen sumber terbuka yang sudah lebih dari empat tahun kedaluwarsa atau tidak memiliki aktivitas pengembangan dalam dua tahun terakhir. Risiko keamanan meningkat ketika kode usang diterapkan, termasuk ancaman pembajakan komponen open source. Situasi seperti itu terjadi pada 2018 ketika komponen event-stream dibajak untuk menargetkan Bitcoin di akun Copay.

Untuk mempelajari lebih lanjut, unduh salinan Praktik DevSecOps dan Manajemen Sumber Terbuka pada tahun 2020 melaporkan.

# # #