91% dari aplikasi komersial ditemukan memiliki komponen OSS yang kedaluwarsa atau ditinggalkan - sebuah studi Synopsys

20170912_synopysys_guidepic

Penjelasan singkat editor: Perangkat lunak sumber terbuka (OSS), baik dalam bentuk jadi, atau sebagai komponen untuk membentuk bagian dari perangkat lunak atau aplikasi, menjadi semakin populer. Kode modular adalah cara yang harus ditempuh, dan cara apa yang lebih mudah untuk menjelajahi repositori dan mencari fragmen perangkat lunak atau modul yang dapat Anda colokkan ke perangkat lunak kustom Anda sendiri? Menghemat waktu dan uang, bukan? Namun, kenyamanan seringkali menjadi kutukan bagi keamanan siber. Seperti yang ditemukan Synopsys, 91% aplikasi komersial berisi komponen OSS yang sudah ketinggalan zaman atau bahkan ditinggalkan, yang dapat menyebabkan risiko dan kerentanan keamanan siber yang serius, beberapa di antaranya bahkan mungkin tidak dapat diperbaiki. Kode baru mungkin perlu ditulis dari awal untuk menggantikan perangkat pengabaian tersebut jika tidak ada alternatif yang ditemukan, dengan biaya tambahan. Rilis berita vendor dapat ditemukan di bawah.

Studi Synopsys Menunjukkan bahwa Sembilan Puluh Satu Persen Aplikasi Komersial Mengandung Komponen Open Source yang Kedaluwarsa atau Diabaikan

Analisis lebih dari 1,250 basis kode komersial menemukan bahwa keamanan sumber terbuka, kepatuhan lisensi, dan risiko operasional tetap tersebar luas

SINGAPURA, @mcgallen #microwireinfo, 13 Mei 2020 - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2020. Laporan, diproduksi oleh Synopsys Cybersecurity Research Center (CyRC), memeriksa hasil lebih dari 1,250 audit basis kode komersial, yang dilakukan oleh tim Layanan Audit Black Duck. Laporan tersebut menyoroti tren dan pola penggunaan open source dalam aplikasi komersial, dan memberikan wawasan serta rekomendasi untuk membantu organisasi mengelola risiko open source dengan lebih baik dari perspektif keamanan, kepatuhan lisensi, dan operasional.

Laporan OSSRA tahun 2020 menegaskan kembali peran penting yang dimainkan open source dalam ekosistem perangkat lunak saat ini, mengungkapkan bahwa secara efektif semua (99%) basis kode yang diaudit selama setahun terakhir berisi setidaknya satu komponen sumber terbuka, dengan sumber terbuka terdiri dari 70% kode secara keseluruhan. Lebih penting lagi adalah penggunaan yang terus meluas dari komponen sumber terbuka yang sudah tua atau ditinggalkan, dengan 91% dari basis kode berisi komponen yang lebih dari empat tahun kedaluwarsa atau tidak melihat aktivitas pengembangan dalam dua tahun terakhir.

Tren yang paling mengkhawatirkan dalam analisis tahun ini adalah meningkatnya risiko keamanan yang ditimbulkan oleh open source yang tidak dikelola, dengan 75% basis kode yang diaudit berisi komponen open source dengan kerentanan keamanan yang diketahui, naik dari 60% tahun sebelumnya. Demikian pula, hampir setengah (49%) dari basis kode terkandung berisiko tinggi kerentanan, dibandingkan dengan 40% hanya 12 bulan sebelumnya.

“Sulit untuk mengabaikan peran penting yang dimainkan open source dalam pengembangan dan penerapan perangkat lunak modern, tetapi mudah untuk mengabaikan bagaimana hal itu memengaruhi postur risiko aplikasi Anda dari perspektif kepatuhan keamanan dan lisensi,” kata Tim Mackey, ahli strategi keamanan utama Synopsys Pusat Penelitian Keamanan Siber. “Laporan OSSRA 2020 menyoroti bagaimana organisasi terus berjuang untuk melacak dan mengelola risiko open source mereka secara efektif. Mempertahankan inventaris yang akurat dari komponen perangkat lunak pihak ketiga, termasuk dependensi sumber terbuka, dan menjaganya tetap mutakhir adalah titik awal utama untuk mengatasi risiko aplikasi di berbagai tingkatan. ”

Ringkasan tren risiko open source paling penting yang diidentifikasi dalam laporan OSSRA 2020 berikut ini:

  • Adopsi open source terus melonjak. Sembilan puluh sembilan persen dari basis kode berisi setidaknya beberapa sumber terbuka, dengan rata-rata 445 komponen sumber terbuka per basis kode - peningkatan yang signifikan dari 298 pada tahun 2018. Tujuh puluh persen dari kode yang diaudit diidentifikasi sebagai sumber terbuka, angka yang meningkat dari 60 % pada 2018 dan hampir dua kali lipat sejak 2015 (36%).
  • Komponen open source yang usang dan "ditinggalkan" tersebar luas. Sembilan puluh satu persen dari basis kode berisi komponen yang lebih dari empat tahun kedaluwarsa atau tidak memiliki aktivitas pengembangan dalam dua tahun terakhir. Selain meningkatnya kemungkinan adanya kerentanan keamanan, risiko menggunakan komponen open source yang sudah ketinggalan zaman adalah bahwa memperbaruinya juga dapat menyebabkan masalah kompatibilitas atau fungsionalitas yang tidak diinginkan.
  • Penggunaan komponen open source yang rentan kembali meningkat trennya. Pada tahun 2019, persentase basis kode yang berisi komponen sumber terbuka yang rentan naik menjadi 75% setelah turun dari 78% menjadi 60% antara tahun 2017 dan 2018. Demikian pula, persentase basis kode yang berisi kerentanan berisiko tinggi melonjak hingga 49% pada tahun 2019 dari 40% pada 2018. Untungnya, tidak ada basis kode yang diaudit pada tahun 2019 dipengaruhi oleh bug Heartbleed yang terkenal atau kerentanan Apache Struts yang menghantui Equifax pada tahun 2017.
  • Konflik lisensi sumber terbuka terus membahayakan kekayaan intelektual. Terlepas dari reputasinya sebagai perangkat lunak "gratis", perangkat lunak open source tidak berbeda dari perangkat lunak lain yang penggunaannya diatur oleh lisensi. Enam puluh delapan persen basis kode berisi beberapa bentuk konflik lisensi sumber terbuka, dan 33% berisi komponen sumber terbuka tanpa lisensi yang dapat diidentifikasi. Prevalensi konflik lisensi bervariasi secara signifikan menurut industri, mulai dari yang tertinggi 93% (Internet & Aplikasi Seluler) hingga yang relatif rendah sebesar 59% (Realitas Virtual, Permainan, Hiburan, Media).

Untuk mempelajari lebih lanjut, unduh salinan Laporan OSSRA 2020.

20200513_snps_ossra_2020_infogrp
Synopsys Open Source Security and Risk Analysis Report (OSSRA) 2020 - sebuah snapshot

Tentang Grup Integritas Perangkat Lunak Synopsys
Synopsys Software Integrity Group membantu tim pengembangan membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys
Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #