Synopsys Study terhadap lebih dari 1,200 aplikasi dan perpustakaan komersial menemukan bahwa mayoritas masih mengandung kerentanan keamanan open source dan konflik lisensi

20171108_synopsys_coverityfeat

Singapura, @mcgallen #microwireinfo, 8 Mei 2019 - Synopsys, Inc. (Nasdaq: SNPS) hari ini merilis Laporan Analisis Keamanan dan Risiko Open Source (OSSRA) 2019. Laporan, diproduksi oleh Synopsys Cybersecurity Research Center (CyRC), memeriksa hasil lebih dari 1,200 audit aplikasi komersial dan perpustakaan, yang dilakukan oleh tim Layanan Audit Black Duck. Laporan tersebut menyoroti tren dan pola dalam penggunaan open source, serta prevalensi komponen open source yang tidak aman dan konflik lisensi.

Seperti yang ditunjukkan dalam laporan, banyak tren penggunaan open source yang telah menghadirkan tantangan manajemen risiko bagi organisasi di tahun-tahun sebelumnya tetap ada hingga saat ini. Namun, data tersebut juga menunjukkan bahwa titik balik telah tercapai, dengan banyak organisasi meningkatkan kemampuan mereka untuk mengelola risiko sumber terbuka, kemungkinan karena kesadaran yang meningkat dan pematangan solusi analisis komposisi perangkat lunak komersial.

"Sumber terbuka memainkan peran yang semakin penting dalam pengembangan dan penerapan perangkat lunak modern, tetapi untuk mewujudkan nilainya, organisasi perlu memahami dan mengelola bagaimana hal itu memengaruhi postur risiko mereka dari perspektif kepatuhan keamanan dan lisensi," kata Tim Mackey, ahli strategi keamanan utama dari Pusat Penelitian Keamanan Siber Synopsys. “Laporan OSSRA 2019 memberikan gambaran sekilas tentang status manajemen risiko open source dalam aplikasi komersial. Hal tersebut menunjukkan bahwa masih terdapat tantangan yang signifikan, dengan mayoritas aplikasi mengandung kerentanan keamanan open source dan konflik lisensi. Tapi ini juga menyoroti bahwa tantangan ini dapat diatasi, karena jumlah kerentanan open source dan konflik lisensi telah menurun dari tahun sebelumnya. ”

Beberapa tren risiko open source paling penting yang diidentifikasi dalam laporan OSSRA 2019 meliputi:

  • Ada peningkatan signifikan dalam adopsi open source. Sembilan puluh enam persen basis kode yang diaudit pada tahun 2018 berisi komponen sumber terbuka, dengan rata-rata 298 komponen sumber terbuka per basis kode dibandingkan dengan 257 pada tahun 2017.
  • Konflik lisensi sumber terbuka dapat membahayakan kekayaan intelektual. Enam puluh delapan persen basis kode berisi beberapa bentuk konflik lisensi sumber terbuka, dan 38% berisi komponen sumber terbuka tanpa lisensi yang dapat diidentifikasi.
  • Penggunaan komponen 'terbengkalai' adalah hal biasa. Delapan puluh lima persen basis kode berisi komponen yang lebih dari empat tahun kedaluwarsa atau tidak berkembang dalam dua tahun terakhir. Jika sebuah komponen tidak aktif dan tidak ada yang memeliharanya, itu berarti tidak ada yang menangani potensi kerentanannya.
  • Banyak organisasi gagal untuk menambal atau mengupdate komponen open source mereka. Usia rata-rata kerentanan yang teridentifikasi dalam Audit Bebek Hitam 2018 adalah 6.6 tahun, sedikit lebih tinggi dari tahun 2017 — menunjukkan bahwa upaya remediasi belum meningkat secara signifikan. Empat puluh tiga persen dari basis kode yang dipindai pada tahun 2018 mengandung kerentanan yang berusia lebih dari 10 tahun. Jika dilihat dengan latar belakang Basis Data Kerentanan Nasional yang menambahkan lebih dari 16,500 kerentanan baru pada tahun 2018, proses tambalannya yang jelas perlu diskalakan untuk mengakomodasi peningkatan pengungkapan.
  • Tidak semua kerentanan diciptakan sama, tetapi banyak organisasi bahkan tidak menangani yang paling berisiko. Lebih dari 40% basis kode mengandung setidaknya satu kerentanan open source berisiko tinggi.

Laporan tersebut mencatat bahwa penggunaan perangkat lunak open source bukanlah masalah tersendiri, dan pada kenyataannya, penting untuk inovasi perangkat lunak. Tetapi kegagalan untuk secara proaktif mengidentifikasi dan mengelola risiko keamanan dan lisensi yang terkait dengan penggunaan komponen sumber terbuka bisa sangat merusak. Terlepas dari faktor risiko yang diidentifikasi, data OSSRA 2019 menunjukkan bahwa, setelah pelanggaran Equifax, peningkatan kesadaran akan risiko open source dan pematangan solusi analisis komposisi perangkat lunak komersial telah membawa kemajuan ke depan:

  • Organisasi menjadi lebih baik dalam mengelola kerentanan keamanan open source. Enam puluh persen dari basis kode yang diaudit pada tahun 2018 mengandung setidaknya satu kerentanan — masih signifikan, tetapi jauh lebih baik daripada angka 78% dari tahun 2017.
  • Secara keseluruhan, kepatuhan lisensi open source juga meningkat. Enam puluh delapan persen dari basis kode yang diaudit 2018 berisi komponen dengan konflik lisensi, dibandingkan dengan 74% pada 2017.

Untuk mempelajari lebih lanjut, unduh salinan Laporan OSSRA 2019.

Tentang Platform Integritas Perangkat Lunak Synopsys
Synopsys Software Integrity Group membantu organisasi membangun perangkat lunak yang aman dan berkualitas tinggi, meminimalkan risiko sekaligus memaksimalkan kecepatan dan produktivitas. Synopsys, pemimpin yang diakui dalam keamanan aplikasi, menyediakan analisis statis, analisis komposisi perangkat lunak, dan solusi analisis dinamis yang memungkinkan tim dengan cepat menemukan dan memperbaiki kerentanan dan cacat pada kode kepemilikan, komponen sumber terbuka, dan perilaku aplikasi. Dengan kombinasi alat, layanan, dan keahlian industri terkemuka, hanya Synopsys yang membantu organisasi mengoptimalkan keamanan dan kualitas di DevSecOps dan sepanjang siklus hidup pengembangan perangkat lunak. Pelajari lebih lanjut di http://www.synopsys.com/software.

Tentang Synopsys
Synopsys, Inc. (Nasdaq: SNPS) adalah mitra Silicon to Software ™ untuk perusahaan inovatif yang mengembangkan produk elektronik dan aplikasi perangkat lunak yang kami andalkan setiap hari. Sebagai perusahaan perangkat lunak terbesar ke-15 di dunia, Synopsys memiliki sejarah panjang dalam menjadi pemimpin global dalam otomasi desain elektronik (EDA) dan IP semikonduktor dan juga mengembangkan kepemimpinannya dalam keamanan perangkat lunak dan solusi kualitas. Baik Anda seorang perancang system-on-chip (SoC) yang membuat semikonduktor tingkat lanjut, atau pengembang perangkat lunak yang menulis aplikasi yang membutuhkan keamanan dan kualitas tertinggi, Synopsys memiliki solusi yang diperlukan untuk memberikan produk yang inovatif, berkualitas tinggi, dan aman. Pelajari lebih lanjut di www.synopsys.com.

# # #