diposting di

Ringkasan editor: Perangkat lunak sumber terbuka (OSS), baik dalam bentuk jadi, atau sebagai komponen untuk membentuk bagian dari perangkat lunak atau aplikasi, menjadi semakin populer. Kode modular adalah cara yang harus dilakukan, dan cara apa yang lebih mudah untuk menjelajahi repositori dan mencari fragmen perangkat lunak atau modul yang dapat Anda sambungkan ke perangkat lunak kustom Anda sendiri? Menghemat waktu dan uang, bukan? Namun, kenyamanan sering kali menjadi kutukan keamanan siber. Sebagai Synopsys menemukan, 91% aplikasi komersial berisi komponen OSS yang ketinggalan zaman atau bahkan ditinggalkan, yang dapat menyebabkan risiko dan kerentanan keamanan siber yang serius, beberapa di antaranya bahkan mungkin tidak dapat diperbaiki. Kode baru mungkin perlu ditulis dari awal untuk menggantikan pengabaian tersebut jika tidak ada alternatif yang ditemukan, dengan biaya tambahan. Rilis berita vendor ditemukan di bawah ini.

Synopsys Studi Menunjukkan bahwa Sembilan Puluh Satu Persen Aplikasi Komersial Mengandung Komponen Open Source yang Kedaluwarsa atau Terbengkalai 

Analisis lebih dari 1,250 basis kode komersial menemukan bahwa keamanan sumber terbuka, kepatuhan lisensi, dan risiko operasional tetap tersebar luas

SINGAPURA, @mcgallen #microwireinfo, 13 Mei 2020 - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2020. Laporan, diproduksi oleh Synopsys Pusat Penelitian Keamanan Siber (CyRC), memeriksa hasil lebih dari 1,250 audit basis kode komersial, yang dilakukan oleh tim Layanan Audit Black Duck. Laporan tersebut menyoroti tren dan pola penggunaan open source dalam aplikasi komersial, dan memberikan wawasan serta rekomendasi untuk membantu organisasi mengelola risiko open source dengan lebih baik dari perspektif keamanan, kepatuhan lisensi, dan operasional.

Laporan OSSRA tahun 2020 menegaskan kembali peran penting yang dimainkan open source dalam ekosistem perangkat lunak saat ini, mengungkapkan bahwa secara efektif semua (99%) basis kode yang diaudit selama setahun terakhir berisi setidaknya satu komponen sumber terbuka, dengan sumber terbuka terdiri dari 70% kode secara keseluruhan. Lebih penting lagi adalah penggunaan yang terus meluas dari komponen sumber terbuka yang sudah tua atau ditinggalkan, dengan 91% dari basis kode berisi komponen yang lebih dari empat tahun kedaluwarsa atau tidak melihat aktivitas pengembangan dalam dua tahun terakhir.

Tren yang paling mengkhawatirkan dalam analisis tahun ini adalah meningkatnya risiko keamanan yang ditimbulkan oleh open source yang tidak dikelola, dengan 75% basis kode yang diaudit berisi komponen open source dengan kerentanan keamanan yang diketahui, naik dari 60% tahun sebelumnya. Demikian pula, hampir setengah (49%) dari basis kode terkandung berisiko tinggi kerentanan, dibandingkan dengan 40% hanya 12 bulan sebelumnya.

“Sulit untuk mengabaikan peran penting yang dimainkan open source dalam pengembangan dan penyebaran perangkat lunak modern, tetapi mudah untuk mengabaikan bagaimana hal itu memengaruhi postur risiko aplikasi Anda dari perspektif keamanan dan kepatuhan lisensi,” kata Tim Mackey, ahli strategi keamanan utama dari Synopsys Pusat Penelitian Keamanan Siber. “Laporan OSSRA 2020 menyoroti bagaimana organisasi terus berjuang untuk melacak dan mengelola risiko open source mereka secara efektif. Mempertahankan inventaris akurat komponen perangkat lunak pihak ketiga, termasuk dependensi open source, dan menjaganya agar tetap mutakhir adalah titik awal utama untuk mengatasi risiko aplikasi di berbagai tingkatan.”

Ringkasan tren risiko open source paling penting yang diidentifikasi dalam laporan OSSRA 2020 berikut ini:

  • Adopsi open source terus melonjak. Sembilan puluh sembilan persen dari basis kode berisi setidaknya beberapa sumber terbuka, dengan rata-rata 445 komponen sumber terbuka per basis kode - peningkatan yang signifikan dari 298 pada tahun 2018. Tujuh puluh persen dari kode yang diaudit diidentifikasi sebagai sumber terbuka, angka yang meningkat dari 60 % pada 2018 dan hampir dua kali lipat sejak 2015 (36%).
  • Komponen open source yang usang dan "ditinggalkan" tersebar luas. Sembilan puluh satu persen dari basis kode berisi komponen yang lebih dari empat tahun kedaluwarsa atau tidak memiliki aktivitas pengembangan dalam dua tahun terakhir. Selain meningkatnya kemungkinan adanya kerentanan keamanan, risiko menggunakan komponen open source yang sudah ketinggalan zaman adalah bahwa memperbaruinya juga dapat menyebabkan masalah kompatibilitas atau fungsionalitas yang tidak diinginkan.
  • Penggunaan komponen open source yang rentan kembali meningkat trennya. Pada tahun 2019, persentase basis kode yang berisi komponen sumber terbuka yang rentan naik menjadi 75% setelah turun dari 78% menjadi 60% antara tahun 2017 dan 2018. Demikian pula, persentase basis kode yang berisi kerentanan berisiko tinggi melonjak hingga 49% pada tahun 2019 dari 40% pada 2018. Untungnya, tidak ada basis kode yang diaudit pada tahun 2019 dipengaruhi oleh bug Heartbleed yang terkenal atau kerentanan Apache Struts yang menghantui Equifax pada tahun 2017.
  • Konflik lisensi sumber terbuka terus membahayakan kekayaan intelektual. Terlepas dari reputasinya sebagai perangkat lunak "gratis", perangkat lunak open source tidak berbeda dari perangkat lunak lain yang penggunaannya diatur oleh lisensi. Enam puluh delapan persen basis kode berisi beberapa bentuk konflik lisensi sumber terbuka, dan 33% berisi komponen sumber terbuka tanpa lisensi yang dapat diidentifikasi. Prevalensi konflik lisensi bervariasi secara signifikan menurut industri, mulai dari yang tertinggi 93% (Internet & Aplikasi Seluler) hingga yang relatif rendah sebesar 59% (Realitas Virtual, Permainan, Hiburan, Media).

Untuk mempelajari lebih lanjut, unduh salinan Laporan OSSRA 2020.

20200513_snps_ossra_2020_infogrp
Synopsys Laporan Analisis Risiko dan Keamanan Sumber Terbuka (OSSRA) 2020 – cuplikan

Tentang Synopsys Grup Integritas Perangkat Lunak
Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim untuk dengan cepat menemukan dan memperbaiki kerentanan dan cacat dalam kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian terdepan di industri, hanya Synopsys membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Kami Synopsys
Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang sebagai pemimpin global dalam otomatisasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang desainer system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk menghadirkan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #