diposting di

Ringkasan editor: Integritas dan keamanan perangkat lunak adalah yang terpenting saat ini, dengan rantai pasokan perangkat lunak menjadi pusat perhatian di tengah ketidakstabilan global saat ini. Vendor terkemuka dalam integritas dan keamanan perangkat lunak, Synopsys, telah merilis laporan Open Source Security and Risk Analysis (OSSRA) 2022. Sementara analisis terhadap lebih dari 2,400 basis kode komersial dan kepemilikan menunjukkan penurunan dalam lisensi sumber terbuka dan risiko kerentanan, laporan tersebut memperingatkan bahwa 88% organisasi masih tertinggal dalam menjaga pembaruan sumber terbuka. Laporan tersebut mengungkapkan 20% dari basis kode yang dinilai berisi sumber terbuka tanpa lisensi atau dengan lisensi yang disesuaikan. Rilis vendor di bawah ini.

Synopsys Studi Menyoroti Tantangan Inti dengan Mengelola Risiko Sumber Terbuka dalam Rantai Pasokan Perangkat Lunak

Analisis lebih dari 2,400 basis kode komersial dan kepemilikan menemukan penurunan dalam lisensi sumber terbuka dan risiko kerentanan, tetapi 88% organisasi masih tertinggal dalam menjaga sumber terbuka diperbarui

SINGAPURA, @mcgallen #microwireinfo, 13 April 2022 - Synopsys, Inc (Nasdaq: SNPS) hari ini merilis Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2022. Laporan, diproduksi oleh Synopsys Pusat Penelitian Keamanan Siber (CyRC), memeriksa hasil lebih dari 2,400 audit basis kode komersial dan kepemilikan dari transaksi merger dan akuisisi, yang dilakukan oleh tim Layanan Audit Black Duck®. Laporan ini menyoroti tren penggunaan sumber terbuka dalam aplikasi komersial dan eksklusif dan memberikan wawasan untuk membantu pengembang lebih memahami ekosistem perangkat lunak yang saling berhubungan. Ini juga merinci risiko meresap yang ditimbulkan oleh open source yang tidak dikelola, termasuk kerentanan keamanan, komponen yang ketinggalan zaman atau ditinggalkan, dan masalah kepatuhan lisensi.

Temuan laporan OSSRA 2022 menggarisbawahi fakta bahwa open source digunakan di mana-mana, di setiap industri, dan merupakan dasar dari setiap aplikasi yang dibangun saat ini.

  • Sumber terbuka yang ketinggalan zaman tetap menjadi norma—termasuk keberadaan versi Log4j yang rentan. Dari perspektif risiko/pemeliharaan operasional, 85% dari 2,097 basis kode berisi open source yang sudah lebih dari empat tahun kedaluwarsa. 88% menggunakan komponen yang bukan versi terbaru yang tersedia. 5% berisi versi Log4j yang rentan.
  • Basis kode yang dinilai menunjukkan kerentanan open source menurun secara keseluruhan. 2,097 dari basis kode yang dinilai termasuk penilaian risiko keamanan dan operasional. Ada penurunan yang lebih dramatis dalam jumlah basis kode yang mengandung kerentanan sumber terbuka berisiko tinggi. 49% dari basis kode yang diaudit tahun ini mengandung setidaknya satu kerentanan berisiko tinggi, dibandingkan dengan 60% tahun lalu. Selain itu, 81% dari basis kode yang dinilai mengandung setidaknya satu kerentanan open source yang diketahui, penurunan minimal 3% dari temuan OSSRA 2021.
  • Konflik lisensi juga menurun secara keseluruhan. Lebih dari setengah—53%—basis kode mengandung konflik lisensi, penurunan substansial dari 65% yang terlihat pada tahun 2020. Secara umum, konflik lisensi tertentu menurun secara menyeluruh antara tahun 2020 dan 2021.
  • 20% dari basis kode yang dinilai berisi sumber terbuka tanpa lisensi atau dengan lisensi yang disesuaikan. Karena lisensi perangkat lunak mengatur hak untuk menggunakannya, perangkat lunak tanpa lisensi menimbulkan dilema apakah penggunaan komponen sumber terbuka menimbulkan risiko hukum. Selain itu, lisensi open source yang disesuaikan mungkin menempatkan persyaratan yang tidak diinginkan pada penerima lisensi dan seringkali memerlukan evaluasi hukum untuk kemungkinan masalah IP atau implikasi lainnya.

“Pengguna perangkat lunak SCA telah memusatkan perhatian mereka pada pengurangan masalah lisensi sumber terbuka dan mengatasi kerentanan berisiko tinggi, dan upaya itu tercermin dalam penurunan yang kami lihat tahun ini dalam konflik lisensi dan kerentanan berisiko tinggi, kata Tim Mackey, ahli strategi keamanan utama dengan Synopsys Pusat Penelitian Keamanan Siber. “Faktanya tetap bahwa lebih dari setengah dari basis kode yang kami audit masih mengandung konflik lisensi dan hampir setengahnya masih mengandung kerentanan berisiko tinggi. Yang lebih meresahkan adalah bahwa 88% dari basis kode [dengan penilaian risiko] berisi versi lama dari komponen open source dengan pembaruan atau patch yang tersedia yang tidak diterapkan.”

“Ada alasan yang dapat dibenarkan untuk tidak memperbarui perangkat lunak sepenuhnya,” lanjut Mackey. “Tetapi, kecuali jika sebuah organisasi menyimpan inventaris sumber terbuka yang akurat dan terkini yang digunakan dalam kode mereka, komponen yang sudah ketinggalan zaman dapat dilupakan hingga menjadi rentan terhadap eksploitasi berisiko tinggi, dan kemudian berebut untuk mengidentifikasi di mana asalnya. sedang digunakan dan untuk memperbaruinya aktif. Inilah tepatnya yang terjadi dengan Log4j, dan mengapa rantai pasokan perangkat lunak dan Software Bill of Materials (SBOM) menjadi topik hangat.”

Untuk mempelajari lebih lanjut tentang potensi risiko yang terkait dengan perangkat lunak sumber terbuka dan cara mengatasinya, unduh salinan laporan OSSRA 2022, baca postingan blognya, atau daftar untuk webinar 22 April.

Tentang Synopsys Grup Integritas Perangkat Lunak

Synopsys Software Integrity Group menyediakan solusi terintegrasi yang mengubah cara tim pengembangan membangun dan menghadirkan perangkat lunak, mempercepat inovasi sambil menangani risiko bisnis. Portofolio produk dan layanan keamanan perangkat lunak kami yang terdepan di industri adalah yang paling komprehensif di dunia dan beroperasi bersama dengan alat pihak ketiga dan sumber terbuka, memungkinkan organisasi untuk memanfaatkan investasi yang ada untuk membangun program keamanan yang terbaik bagi mereka. Hanya Synopsys menawarkan semua yang Anda butuhkan untuk membangun kepercayaan pada perangkat lunak Anda. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Kami Synopsys

Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan S&P 500, Synopsys memiliki sejarah panjang sebagai pemimpin global dalam otomatisasi desain elektronik (EDA) dan IP semikonduktor dan menawarkan portofolio alat dan layanan pengujian keamanan aplikasi terluas di industri. Baik Anda seorang desainer system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis kode berkualitas tinggi yang lebih aman, Synopsys memiliki solusi yang dibutuhkan untuk menghadirkan produk inovatif. Pelajari lebih lanjut di www.synopsys.com.

# # #