ポストする

編集者の概要:世界的な危機により、政府や企業は、パンデミックの影響に対処しながら、コスト抑制をより真剣に検討するようになりましたが、オープンソースソフトウェア(OSS)の採用が重要になっています。 エンドユーザーレベルとSDLC(ソフトウェア開発ライフサイクル)の両方の段階でOSSが採用されるにつれ、コードの整合性とセキュリティの必要性が最も重要になっています。 ただし、OSSコンポーネントのパッチ適用はスピードアップしていますか? ベンダーのリリースは以下のとおりです。

Synopsys 調査によると、オープンソースのセキュリティは最優先事項ですが、パッチ適用が遅すぎます

1,500人のIT専門家を対象としたグローバル調査によると、世界中の回答者の40%が、オープンソースの脆弱性に対処するために配信スケジュールを中断していました。

シンガポール、@ mcgallen#microwire情報、9年2020月XNUMX日Synopsys株式会社 (ナスダック: SNPS)本日、レポートをリリースしました。 2020年のDevSecOpsプラクティスとオープンソース管理。 によって生成されます Synopsys サイバーセキュリティ研究センター (CyRC)、レポートは、サイバーセキュリティ、ソフトウェア開発、ソフトウェアエンジニアリング、およびWeb開発で働く1,500人のIT専門家の調査からの調査結果を強調しています。 このレポートでは、世界中の組織がオープンソースの脆弱性管理に対処するために使用している戦略と、商用コード内の古いまたは放棄されたオープンソースコンポーネントの増大する問題について調査しています。

オープンソースは、今日のソフトウェアエコシステムにおいて重要な役割を果たしています。 最新のコードベースの圧倒的多数にはオープンソースコンポーネントが含まれており、オープンソースはコード全体の70%以上を占めることがよくあります。 しかし、オープンソースの使用の増加と並行して、管理されていないオープンソースによってもたらされるセキュリティリスクが高まっています。 実際、 2020 OSSRAレポート、によって監査されたコードベースの75% Synopsys 既知のセキュリティ脆弱性を持つオープンソースコンポーネントが含まれています。 この状況に対処するために、調査の回答者は、新しいオープンソースコンポーネントを検証する際の最大の基準として、既知のセキュリティの脆弱性の特定を挙げています。

「パッチが適用されていない脆弱性が開発者の苦痛の主な原因であり、最終的にはビジネスリスクになることは明らかです。」 のプリンシパルセキュリティストラテジストであるTimMackeyは次のように述べています。 Synopsys サイバーセキュリティ研究センター。 「「2020年のDevSecOpsプラクティスとオープンソース管理」レポートは、組織がオープンソースリスクを効果的に追跡および管理するためにどのように苦労しているのかを強調しています。」

「半数以上(51%)が、オープンソースパッチを適用するのに38〜XNUMX週間かかると言っています」とMackey氏は続けます。 「これは、自動ソフトウェア構成分析(SCA)ツールを使用して、使用中のオープンソースコンポーネントと更新がいつリリースされるかを特定するのはXNUMX%にすぎないという事実に関連している可能性があります。 残りの組織はおそらく、オープンソースを管理するために手動プロセスを採用しています。これは、開発チームと運用チームの速度を低下させ、平均して毎日数十の新しいセキュリティ開示が公開される環境でセキュリティに追いつくことを余儀なくさせる可能性があります。」

「2020年のDevSecOpsプラクティスとオープンソース管理」レポートのその他の注目すべき調査結果は次のとおりです。

  • DevSecOpsは世界中で急速に成長しています。 回答者の合計63%が、ソフトウェア開発パイプラインにDevSecOpsアクティビティの測定値を組み込んでいると報告しました。
  • 広く採用されているアプリケーションセキュリティテスト(AST)ツールはありません。 調査の質問への回答が示すように、アプリケーションのセキュリティテストツールと手法に不足はありません。 ただし、採用率が最も高いASTツールでさえ、回答者の半数未満しか利用していません。
  • メディアは、オープンソースのリスク管理において重要な役割を果たしています。 回答者のXNUMX%は、メディアの報道により、組織がオープンソースの使用に対してより厳格な管理を適用するように促したと述べています。
  • 回答者のXNUMX%が、使用するオープンソースコンポーネントの時代を中心に標準を定義しています。。 オープンソースコミュニティで増大している問題は、プロジェクトの持続可能性です。 2020年 Synopsys 研究 91年に監査されたコードベースの2019%に、2018年以上古くなっているか、過去XNUMX年間に開発活動がなかったオープンソースコンポーネントが含まれていることが示されました。 オープンソースコンポーネントがハイジャックされる脅威など、廃止されたコードが展開されると、セキュリティリスクが高まります。 このような状況は、イベントストリームコンポーネントがCopayアカウントのビットコインをターゲットにするためにハイジャックされたXNUMX年に発生しました。

詳細については、のコピーをダウンロードしてください 2020年のDevSecOpsプラクティスとオープンソース管理 レポート。

約 Synopsys ソフトウェア整合性グループ

Synopsys Software Integrity Groupは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら速度と生産性を最大化するのを支援します。 Synopsysは、アプリケーションセキュリティのリーダーとして認められており、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供します。これにより、チームは独自のコード、オープンソースコンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できます。 業界をリードするツール、サービス、専門知識を組み合わせて、 Synopsys 組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのに役立ちます。 詳細については、 WWW。synopsys.com / software.

企業概要 Synopsys

Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 世界で15番目に大きいソフトウェア会社として、 Synopsys 電子設計自動化(EDA)および半導体IPのグローバルリーダーであるという長い歴史があり、ソフトウェアセキュリティおよび品質ソリューションにおけるリーダーシップも成長しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者であろうと、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者であろうと、 Synopsys 革新的で高品質で安全な製品を提供するために必要なソリューションを備えています。 詳細については、 WWW。synopsys.COM.

###