diposting di

Ringkasan editor: Meskipun krisis global telah mendorong pemerintah dan bisnis untuk melihat lebih serius pada pengendalian biaya sekaligus mengatasi dampak pandemi, adopsi perangkat lunak sumber terbuka (OSS) menjadi penting. Dengan penerapan OSS baik di tingkat pengguna akhir maupun di tahap SDLC (siklus hidup pengembangan perangkat lunak), kebutuhan akan integritas kode dan keamanan menjadi yang terpenting. Namun, apakah menambal komponen OSS sesuai kecepatan? Rilis vendor ada di bawah.

Studi Synopsys Menunjukkan Top-of-Mind Keamanan Open Source tetapi Menambal Terlalu Lambat

Survei global terhadap 1,500 profesional TI menemukan bahwa 40% responden di seluruh dunia mengalami gangguan jadwal pengiriman untuk mengatasi kerentanan open source

SINGAPURA, @mcgallen #microwireinfo, 9 Desember 2020 - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis laporan, Praktik DevSecOps dan Manajemen Sumber Terbuka pada tahun 2020. Diproduksi oleh Synopsys Cybersecurity Research Center (CyRC), laporan tersebut menyoroti temuan dari survei terhadap 1,500 profesional TI yang bekerja di keamanan dunia maya, pengembangan perangkat lunak, rekayasa perangkat lunak, dan pengembangan web. Laporan ini mengeksplorasi strategi yang digunakan organisasi di seluruh dunia untuk menangani manajemen kerentanan open source serta masalah yang berkembang dari komponen open source yang sudah ketinggalan zaman atau ditinggalkan dalam kode komersial.

Sumber terbuka memainkan peran penting dalam ekosistem perangkat lunak saat ini. Sebagian besar basis kode modern berisi komponen sumber terbuka, dengan sumber terbuka sering kali mencakup 70% atau lebih dari keseluruhan kode. Namun sejalan dengan pertumbuhan penggunaan open source adalah meningkatnya risiko keamanan yang ditimbulkan oleh open source yang tidak terkelola. Padahal, menurut Laporan OSSRA 2020, 75% dari basis kode yang diaudit oleh Synopsys berisi komponen sumber terbuka dengan kerentanan keamanan yang diketahui. Untuk mengatasi situasi ini, responden survei mengutip identifikasi kerentanan keamanan yang diketahui sebagai kriteria nomor satu saat memeriksa komponen open source baru.

“Jelas bahwa kerentanan yang belum ditambal adalah sumber utama penderitaan pengembang, dan pada akhirnya risiko bisnis.” kata Tim Mackey, ahli strategi keamanan utama dari Synopsys Cybersecurity Research Center. “Laporan 'DevSecOps Practices and Open Source Management in 2020' menyoroti bagaimana organisasi berjuang untuk secara efektif melacak dan mengelola risiko open source mereka.”

“Lebih dari setengah - 51% - katakanlah butuh dua hingga tiga minggu bagi mereka untuk menerapkan tambalan sumber terbuka,” lanjut Mackey. “Ini mungkin terkait dengan fakta bahwa hanya 38% yang menggunakan alat analisis komposisi perangkat lunak otomatis (SCA) untuk mengidentifikasi komponen sumber terbuka mana yang digunakan dan kapan pembaruan dirilis. Organisasi yang tersisa mungkin menggunakan proses manual untuk mengelola open source - proses yang dapat memperlambat tim pengembangan dan operasi, memaksa mereka mengejar ketertinggalan keamanan dalam iklim di mana, rata-rata, lusinan pengungkapan keamanan baru dipublikasikan setiap hari. ”

Temuan penting lainnya dalam laporan "Praktik DevSecOps dan Manajemen Open Source di 2020" meliputi:

  • DevSecOps berkembang pesat di seluruh dunia. Gabungan 63% responden melaporkan bahwa mereka menggabungkan beberapa ukuran aktivitas DevSecOps ke dalam pipeline pengembangan perangkat lunak mereka.
  • Tidak ada alat pengujian keamanan aplikasi (AST) yang diadopsi secara universal. Seperti yang ditunjukkan oleh jawaban atas pertanyaan survei, tidak ada kekurangan alat dan teknik pengujian keamanan aplikasi. Namun, bahkan alat AST dengan tingkat adopsi tertinggi masih hanya digunakan oleh kurang dari setengah responden.
  • Media memainkan peran penting dalam manajemen risiko open source. Empat puluh enam persen responden mencatat bahwa liputan media telah mendorong organisasi mereka untuk menerapkan kontrol yang lebih ketat pada penggunaan open source.
  • Empat puluh tujuh persen responden mendefinisikan standar seputar usia komponen open source yang mereka gunakan. Masalah yang berkembang dalam komunitas open source adalah keberlanjutan proyek. A 2020 Studi Synopsys menunjukkan bahwa 91% basis kode yang diaudit pada tahun 2019 berisi komponen sumber terbuka yang sudah lebih dari empat tahun kedaluwarsa atau tidak memiliki aktivitas pengembangan dalam dua tahun terakhir. Risiko keamanan meningkat ketika kode usang diterapkan, termasuk ancaman pembajakan komponen open source. Situasi seperti itu terjadi pada 2018 ketika komponen event-stream dibajak untuk menargetkan Bitcoin di akun Copay.

Untuk mempelajari lebih lanjut, unduh salinan Praktik DevSecOps dan Manajemen Sumber Terbuka pada tahun 2020 melaporkan.

Tentang Grup Integritas Perangkat Lunak Synopsys

Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor tingkat lanjut, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #