Synopsys Report Menemukan Mayoritas Perangkat Lunak Terganggu oleh Kerentanan yang Diketahui dan Konflik Lisensi sebagai Adopsi Sumber Terbuka Melonjak

20171108_synopsys_coverityfeat

Temuan menunjukkan sepertiga dari basis kode yang diaudit yang berisi Apache Struts juga memiliki kerentanan yang mengakibatkan pelanggaran Equifax.

Singapura, @mcgallen #microwireinfo, 15 Mei 2018 - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis laporan Black Duck by Synopsys 2018 Open Source Security and Risk Analysis (OSSRA), yang memeriksa temuan dari data anonim lebih dari 1,100 basis kode komersial yang diaudit pada tahun 2017 Industri yang diwakili dalam laporan ini termasuk otomotif, data besar, keamanan dunia maya, perangkat lunak perusahaan, layanan keuangan, perawatan kesehatan, Internet of Things (IoT), manufaktur, dan pasar aplikasi seluler.

Laporan tersebut menyoroti peningkatan besar-besaran dalam adopsi open source, dengan 96 persen aplikasi yang dipindai mengandung komponen open source. Data juga menunjukkan bahwa jumlah rata-rata komponen open source yang ditemukan per basis kode (257) tumbuh 75 persen dibandingkan tahun sebelumnya, dengan banyak aplikasi yang berisi lebih banyak sumber terbuka daripada kode berpemilik. Yang mengkhawatirkan adalah 78 persen basis kode yang diperiksa berisi setidaknya satu kerentanan open source, dengan rata-rata 64 kerentanan per basis kode. Lebih dari 54 persen kerentanan yang ditemukan dalam basis kode yang diaudit dianggap sebagai kerentanan berisiko tinggi. Tujuh belas persen dari basis kode berisi kerentanan yang dipublikasikan secara luas seperti Heartbleed, Logjam, Freak, Drown, atau Poodle.

“Karena perangkat lunak dan infrastruktur modern sangat bergantung pada teknologi open source, memiliki pandangan yang jelas tentang komponen yang digunakan adalah bagian penting dari tata kelola perusahaan,” kata Tim Mackey, penginjil teknis di Black Duck oleh Synopsys. “Laporan tersebut dengan jelas menunjukkan bahwa dengan pertumbuhan penggunaan open source, organisasi perlu memastikan bahwa mereka memiliki alat untuk mendeteksi kerentanan dalam komponen open source dan mengelola kepatuhan lisensi apa pun yang mungkin diperlukan oleh penggunaan open source mereka.”

Komponen open source yang rentan ditemukan dalam aplikasi di setiap industri. Vertikal Internet and Software Infrastructure memiliki proporsi tertinggi — 67 persen — aplikasi yang mengandung kerentanan open source berisiko tinggi. Ironisnya, 41 persen aplikasi di industri Keamanan Siber ditemukan memiliki kerentanan sumber terbuka berisiko tinggi, menempatkan vertikal itu pada risiko tertinggi keempat.

Selain itu, 33 persen dari basis kode yang diaudit yang berisi Apache Struts juga mengandung kerentanan yang mengakibatkan pelanggaran Equifax. Laporan tersebut dengan jelas menunjukkan bahwa organisasi membiarkan semakin banyak kerentanan terakumulasi dalam basis kode mereka. Rata-rata, kerentanan yang diidentifikasi dalam audit diungkapkan hampir enam tahun lalu.

“Ketika Equifax dilanggar melalui kerentanan Apache Struts, kebutuhan akan manajemen keamanan open source menjadi berita halaman depan,” kata Evan Klein, manajer pemasaran produk Black Duck yang bertanggung jawab atas laporan OSSRA. “Namun meskipun itu diungkapkan pada Maret 2017, banyak organisasi tampaknya masih belum memeriksa aplikasi mereka untuk mengetahui kerentanan Struts.”

Berdasarkan temuan, 74 persen basis kode yang diaudit juga mengandung komponen dengan konflik izin, yang paling banyak adalah pelanggaran lisensi GPL. Persentase aplikasi dengan konflik lisensi dalam vertikal berkisar dari industri Ritel dan E-niaga yang relatif rendah yaitu 61 persen hingga yang tertinggi di industri Telekomunikasi dan Nirkabel — di mana 100 persen kode yang dipindai memiliki beberapa bentuk konflik lisensi sumber terbuka.

Untuk mengunduh laporan OSSRA, kunjungi https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

Tentang Platform Integritas Perangkat Lunak Synopsys
Synopsys Software Integrity Group membantu organisasi membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi memaksimalkan keamanan dan kualitas di DevSecOps dan di sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di www.synopsys.com/software.

Tentang Synopsys
Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor canggih, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #