kode-unsplash

Synopsys Studi terhadap lebih dari 1,200 aplikasi dan perpustakaan komersial menemukan bahwa mayoritas masih mengandung kerentanan keamanan sumber terbuka dan konflik lisensi

SINGAPURA - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2019. Laporan, diproduksi oleh Synopsys Pusat Penelitian Keamanan Siber (CyRC), memeriksa hasil lebih dari 1,200 audit aplikasi komersial dan perpustakaan, yang dilakukan oleh tim Layanan Audit Black Duck. Laporan tersebut menyoroti tren dan pola dalam penggunaan open source, serta prevalensi komponen open source yang tidak aman dan konflik lisensi.

Seperti yang ditunjukkan dalam laporan, banyak tren penggunaan open source yang telah menghadirkan tantangan manajemen risiko bagi organisasi di tahun-tahun sebelumnya tetap ada hingga saat ini. Namun, data tersebut juga menunjukkan bahwa titik balik telah tercapai, dengan banyak organisasi meningkatkan kemampuan mereka untuk mengelola risiko sumber terbuka, kemungkinan karena kesadaran yang meningkat dan pematangan solusi analisis komposisi perangkat lunak komersial.

“Open source memainkan peran yang semakin penting dalam pengembangan dan penyebaran perangkat lunak modern, tetapi untuk mewujudkan nilainya, organisasi perlu memahami dan mengelola bagaimana hal itu memengaruhi postur risiko mereka dari perspektif kepatuhan keamanan dan lisensi,” kata Tim Mackey, ahli strategi keamanan utama dari itu Synopsys Pusat Penelitian Keamanan Siber. “Laporan OSSRA 2019 memberikan gambaran sekilas tentang status manajemen risiko sumber terbuka dalam aplikasi komersial. Ini menunjukkan bahwa masih ada tantangan yang signifikan, dengan mayoritas aplikasi mengandung kerentanan keamanan open source dan konflik lisensi. Tetapi ini juga menyoroti bahwa tantangan ini dapat diatasi, karena jumlah kerentanan open source dan konflik lisensi telah menurun dari tahun sebelumnya.”

Beberapa tren risiko open source paling penting yang diidentifikasi dalam laporan OSSRA 2019 meliputi:

  • Ada peningkatan signifikan dalam adopsi open source. Sembilan puluh enam persen basis kode yang diaudit pada tahun 2018 berisi komponen sumber terbuka, dengan rata-rata 298 komponen sumber terbuka per basis kode dibandingkan dengan 257 pada tahun 2017.
  • Konflik lisensi sumber terbuka dapat membahayakan kekayaan intelektual. Enam puluh delapan persen basis kode berisi beberapa bentuk konflik lisensi sumber terbuka, dan 38% berisi komponen sumber terbuka tanpa lisensi yang dapat diidentifikasi.
  • Penggunaan komponen 'terbengkalai' adalah hal biasa. Delapan puluh lima persen basis kode berisi komponen yang lebih dari empat tahun kedaluwarsa atau tidak berkembang dalam dua tahun terakhir. Jika sebuah komponen tidak aktif dan tidak ada yang memeliharanya, itu berarti tidak ada yang menangani potensi kerentanannya.
  • Banyak organisasi gagal untuk menambal atau mengupdate komponen open source mereka. Usia rata-rata kerentanan yang teridentifikasi dalam Audit Bebek Hitam 2018 adalah 6.6 tahun, sedikit lebih tinggi dari tahun 2017 — menunjukkan bahwa upaya remediasi belum meningkat secara signifikan. Empat puluh tiga persen dari basis kode yang dipindai pada tahun 2018 mengandung kerentanan yang berusia lebih dari 10 tahun. Jika dilihat dengan latar belakang Basis Data Kerentanan Nasional yang menambahkan lebih dari 16,500 kerentanan baru pada tahun 2018, proses tambalannya yang jelas perlu diskalakan untuk mengakomodasi peningkatan pengungkapan.
  • Tidak semua kerentanan diciptakan sama, tetapi banyak organisasi bahkan tidak menangani yang paling berisiko. Lebih dari 40% basis kode mengandung setidaknya satu kerentanan open source berisiko tinggi.

Laporan tersebut mencatat bahwa penggunaan perangkat lunak open source bukanlah masalah tersendiri, dan pada kenyataannya, penting untuk inovasi perangkat lunak. Tetapi kegagalan untuk secara proaktif mengidentifikasi dan mengelola risiko keamanan dan lisensi yang terkait dengan penggunaan komponen sumber terbuka bisa sangat merusak. Terlepas dari faktor risiko yang diidentifikasi, data OSSRA 2019 menunjukkan bahwa, setelah pelanggaran Equifax, peningkatan kesadaran akan risiko open source dan pematangan solusi analisis komposisi perangkat lunak komersial telah membawa kemajuan ke depan:

  • Organisasi menjadi lebih baik dalam mengelola kerentanan keamanan open source. Enam puluh persen dari basis kode yang diaudit pada tahun 2018 mengandung setidaknya satu kerentanan — masih signifikan, tetapi jauh lebih baik daripada angka 78% dari tahun 2017.
  • Secara keseluruhan, kepatuhan lisensi open source juga meningkat. Enam puluh delapan persen dari basis kode yang diaudit 2018 berisi komponen dengan konflik lisensi, dibandingkan dengan 74% pada 2017.

Untuk mempelajari lebih lanjut, unduh salinan Laporan OSSRA 2019.

# # #