Synopsysのグローバル調査では、オープンソースのセキュリティが最優先事項であることがわかりましたが、パッチ適用が追いついてきています

markus-spiske-qjnAnF0jIGk-unsplash

編集者の概要:世界的な危機により、政府や企業は、パンデミックの影響に対処しながら、コスト抑制をより真剣に検討するようになりましたが、オープンソースソフトウェア(OSS)の採用が重要になっています。 エンドユーザーレベルとSDLC(ソフトウェア開発ライフサイクル)の両方の段階でOSSが採用されるにつれ、コードの整合性とセキュリティの必要性が最も重要になっています。 ただし、OSSコンポーネントのパッチ適用はスピードアップしていますか? ベンダーのリリースは以下のとおりです。

Synopsysの調査によると、オープンソースのセキュリティは最優先事項ですが、パッチ適用が遅すぎます

1,500人のIT専門家を対象としたグローバル調査によると、世界中の回答者の40%が、オープンソースの脆弱性に対処するために配信スケジュールを中断していました。

シンガポール、@ mcgallen#microwire情報、9年2020月XNUMX日シノプシス株式会社 (ナスダック: SNPS)本日、レポートをリリースしました。 2020年のDevSecOpsプラクティスとオープンソース管理。 によって生成されます Synopsysサイバーセキュリティリサーチセンター (CyRC)、レポートは、サイバーセキュリティ、ソフトウェア開発、ソフトウェアエンジニアリング、およびWeb開発で働く1,500人のIT専門家の調査からの調査結果を強調しています。 このレポートでは、世界中の組織がオープンソースの脆弱性管理に対処するために使用している戦略と、商用コード内の古いまたは放棄されたオープンソースコンポーネントの増大する問題について調査しています。

オープンソースは、今日のソフトウェアエコシステムにおいて重要な役割を果たしています。 最新のコードベースの圧倒的多数にはオープンソースコンポーネントが含まれており、オープンソースはコード全体の70%以上を占めることがよくあります。 しかし、オープンソースの使用の増加と並行して、管理されていないオープンソースによってもたらされるセキュリティリスクが高まっています。 実際、 2020 OSSRAレポート、Synopsysによって監査されたコードベースの75%には、既知のセキュリティ脆弱性を持つオープンソースコンポーネントが含まれています。 この状況に対処するために、調査の回答者は、新しいオープンソースコンポーネントを検証する際の最大の基準として、既知のセキュリティの脆弱性の特定を挙げています。

「パッチが適用されていない脆弱性が開発者の苦痛、そして最終的にはビジネスリスクの主な原因であることは明らかです。」 シノプシスサイバーセキュリティリサーチセンターの主任セキュリティストラテジスト、ティムマッキーは語った。 「「2020年のDevSecOpsプラクティスとオープンソース管理」レポートは、組織がオープンソースリスクを効果的に追跡および管理するのにどのように苦労しているかを強調しています。」

「半数以上(51%)が、オープンソースパッチを適用するのに38〜XNUMX週間かかると言っています」とMackey氏は続けます。 「これは、自動ソフトウェア構成分析(SCA)ツールを使用して、使用中のオープンソースコンポーネントと更新がいつリリースされるかを特定するのはXNUMX%にすぎないという事実に関連している可能性があります。 残りの組織はおそらく、オープンソースを管理するために手動プロセスを採用しています。これは、開発チームと運用チームの速度を低下させ、平均して毎日数十の新しいセキュリティ開示が公開される環境でセキュリティに追いつくことを余儀なくさせる可能性があります。」

「2020年のDevSecOpsプラクティスとオープンソース管理」レポートのその他の注目すべき調査結果は次のとおりです。

  • DevSecOpsは世界中で急速に成長しています。 回答者の合計63%が、ソフトウェア開発パイプラインにDevSecOpsアクティビティの測定値を組み込んでいると報告しました。
  • 広く採用されているアプリケーションセキュリティテスト(AST)ツールはありません。 調査の質問への回答が示すように、アプリケーションのセキュリティテストツールと手法に不足はありません。 ただし、採用率が最も高いASTツールでさえ、回答者の半数未満しか利用していません。
  • メディアは、オープンソースのリスク管理において重要な役割を果たしています。 回答者のXNUMX%は、メディアの報道により、組織がオープンソースの使用に対してより厳格な管理を適用するように促したと述べています。
  • 回答者のXNUMX%が、使用するオープンソースコンポーネントの時代を中心に標準を定義しています。。 オープンソースコミュニティで増大している問題は、プロジェクトの持続可能性です。 2020年 シノプシスの研究 91年に監査されたコードベースの2019%に、2018年以上古くなっているか、過去XNUMX年間に開発活動がなかったオープンソースコンポーネントが含まれていることが示されました。 オープンソースコンポーネントがハイジャックされる脅威など、廃止されたコードが展開されると、セキュリティリスクが高まります。 このような状況は、イベントストリームコンポーネントがCopayアカウントのビットコインをターゲットにするためにハイジャックされたXNUMX年に発生しました。

詳細については、のコピーをダウンロードしてください 2020年のDevSecOpsプラクティスとオープンソース管理 レポート。

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて

Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###