商用アプリの91%が古くなった、または放棄されたOSSコンポーネントを持っていることが判明– Synopsysの調査

20170912_synopysys_guidepic

編集者の概要:オープンソースソフトウェア(OSS)は、完成した形であれ、ソフトウェアやアプリの一部を構成するコンポーネントとしての人気がますます高まっています。 モジュラーコードはそのための方法であり、リポジトリを精査して、独自のカスタムソフトウェアにプラグインするだけのソフトウェアフラグメントやモジュールを探す簡単な方法とは何でしょうか。 時間とお金を節約しますよね? ただし、利便性はサイバーセキュリティの悩みの種です。 Synopsysが発見したように、商用アプリの91%に古いまたは放棄されたOSSコンポーネントが含まれているため、深刻なサイバーセキュリティリスクと脆弱性が発生する可能性があり、その一部は修復不能な場合もあります。 代替案が見つからない場合、追加のコストで、そのような放棄ウェアを置き換えるために、新しいコードを最初から作成する必要があります。 ベンダーのニュースリリースは以下にあります。

Synopsysの調査によると、商用アプリケーションのXNUMX%に古いまたは放棄されたオープンソースコンポーネントが含まれている 

1,250を超える商用コードベースの分析により、オープンソースのセキュリティ、ライセンスのコンプライアンス、および運用上のリスクが依然として広まっていることが判明

シンガポール、@ mcgallen#microwire情報、13年2020月XNUMX日 シノプシス。 (ナスダック: SNPS)本日リリースされた 2020 Open Source Security and Risk Analysis(OSSRA)レポート。 によって作成されたレポート Synopsysサイバーセキュリティリサーチセンター (CyRC)は、Black Duck Audit Servicesチームが実行した商用コードベースの1,250以上の監査の結果を調査します。 このレポートは、商用アプリケーション内のオープンソースの使用における傾向とパターンを強調し、組織がセキュリティ、ライセンスコンプライアンス、および運用の観点からオープンソースのリスクをより適切に管理するのに役立つ洞察と推奨事項を提供します。

2020 OSSRAレポートは、今日のソフトウェアエコシステムでオープンソースが果たす重要な役割を再確認し、過去99年間に監査されたコードベースのすべて(70%)に少なくとも91つのオープンソースコンポーネントが含まれており、コードのXNUMX%がオープンソースであることが明らかになりました全体。 より注目に値するのは、古くなった、または放棄されたオープンソースコンポーネントの継続的な広範な使用であり、コードベースのXNUMX%に、XNUMX年以上古くなっているか、過去XNUMX年間に開発活動がなかったコンポーネントが含まれています。

今年の分析で最も懸念される傾向は、アンマネージドオープンソースによってもたらされるセキュリティリスクの高まりであり、監査済みコードベースの75%は、既知のセキュリティ脆弱性を持つオープンソースコンポーネントを含み、前年の60%から増加しています。 同様に、コードベースの半分近く(49%)に リスクが高い 脆弱性、40か月前の12%と比較。

「オープンソースが現代のソフトウェア開発と展開で果たす重要な役割を却下することは困難ですが、それがセキュリティとライセンスコンプライアンスの観点からアプリケーションのリスク状況にどのように影響するかを見過ごすのは簡単です」とSynopsysの主要なセキュリティ戦略家であるTim Mackeyサイバーセキュリティ研究センター。 「2020年のOSSRAレポートは、組織がオープンソースリスクを効果的に追跡および管理するためにどのように奮闘し続けているかを強調しています。 オープンソースの依存関係を含むサードパーティソフトウェアコンポーネントの正確なインベントリを維持し、それを最新に保つことは、複数のレベルでアプリケーションリスクに対処するための重要な出発点です。」

2020年のOSSRAレポートで特定された最も注目すべきオープンソースリスクの傾向の概要は次のとおりです。

  • オープンソースの採​​用は急増し続けています。 コードベースの445%には少なくともいくつかのオープンソースが含まれており、コードベースごとに平均298のオープンソースコンポーネントがあり、2018年の60から大幅に増加しています。監査済みコードの2018%がオープンソースとして識別され、2015から増加しました36年の割合はXNUMX年以降、ほぼ倍増しました(XNUMX%)。
  • 時代遅れで「放棄された」オープンソースコンポーネントは普及しています。 コードベースのXNUMX%には、XNUMX年以上古くなっているか、過去XNUMX年間に開発活動がなかったコンポーネントが含まれていました。 セキュリティの脆弱性が存在する可能性が高まるだけでなく、古いオープンソースコンポーネントを使用するリスクは、それらを更新すると、不要な機能や互換性の問題が発生する可能性があることです。
  • 脆弱なオープンソースコンポーネントの使用が再び増加傾向にあります。 2019年、脆弱なオープンソースコンポーネントを含むコードベースの割合は、75年から78年の間に60%から2017%に低下した後、2018%に上昇しました。同様に、高リスクの脆弱性を含むコードベースの割合は、49年に2019%から40%に急上昇しました幸いなことに、2018年に監査されたコードベースは、2019年にEquifaxを悩ませた悪名高いHeartbleedバグまたはApache Strutsの脆弱性の影響を受けませんでした。
  • オープンソースライセンスの競合により、知的財産が危険にさらされ続けています。 「無料」であるという評判にもかかわらず、オープンソースソフトウェアは、その使用がライセンスによって管理されているという点で他のソフトウェアと何ら変わりはありません。 コードベースの33%には、何らかの形のオープンソースライセンスの競合が含まれており、93%には、識別可能なライセンスのないオープンソースコンポーネントが含まれていました。 ライセンスの競合の発生率は業界によって大きく異なり、59%の高値(インターネットおよびモバイルアプリ)からXNUMX%の比較的低値(バーチャルリアリティ、ゲーム、エンターテインメント、メディア)までさまざまです。

詳細については、のコピーをダウンロードしてください 2020 OSSRAレポート.

20200513_snps_ossra_2020_infogrp
Synopsysオープンソースセキュリティおよびリスク分析レポート(OSSRA)2020 –スナップショット

Synopsys Software Integrity Groupについて
Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて
Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###