ポストする

編集者の概要:ソフトウェアの整合性とセキュリティは最近最も重要であり、ソフトウェアのサプライチェーンは今日の世界的な不安定さの中で中心的な役割を果たしています。 ソフトウェアの整合性とセキュリティの大手ベンダー、 Synopsysは、2022年のオープンソースセキュリティおよびリスク分析(OSSRA)レポートをリリースしました。 2,400を超える商用およびプロプライエタリコードベースの分析では、オープンソースライセンスと脆弱性のリスクが減少していることが示されましたが、レポートでは、組織の88%がオープンソースの更新を維持するのにまだ遅れをとっていると警告しました。 レポートでは、評価されたコードベースの20%に、ライセンスのない、またはカスタマイズされたライセンスのあるオープンソースが含まれていることが明らかになりました。 ベンダーのリリースは以下のとおりです。

Synopsys 調査は、ソフトウェアサプライチェーンにおけるオープンソースリスクの管理に関する主要な課題を強調しています

2,400を超える商用およびプロプライエタリコードベースの分析では、オープンソースライセンスと脆弱性のリスクが減少していることがわかりましたが、組織の88%はオープンソースを最新の状態に保つのにまだ遅れをとっています

シンガポール、@ mcgallen#microwire情報、13年2022月XNUMX日 Synopsys株式会社 (Nasdaq:SNPS)本日リリースされた 2022 Open Source Security and Risk Analysis(OSSRA)レポート。 によって作成されたレポート Synopsys サイバーセキュリティ研究センター(CyRC)は、BlackDuck®監査サービスチームによって実行された、合併および買収トランザクションからの商用および専有コードベースの2,400を超える監査の結果を調べます。 このレポートは、商用およびプロプライエタリアプリケーション内でのオープンソースの使用傾向を強調し、開発者が相互接続されたソフトウェアエコシステムをよりよく理解するのに役立つ洞察を提供します。 また、セキュリティの脆弱性、古いコンポーネントや放棄されたコンポーネント、ライセンスコンプライアンスの問題など、管理されていないオープンソースによって引き起こされる広範なリスクについても詳しく説明します。

2022年のOSSRAレポートの調査結果は、オープンソースがあらゆる業界であらゆる場所で使用されており、今日構築されているすべてのアプリケーションの基盤であるという事実を強調しています。

  • 脆弱なLog4jバージョンの存在を含め、古いオープンソースは依然として標準です。 オペレーショナルリスク/メンテナンスの観点から、85のコードベースの2,097%には、88年以上古くなったオープンソースが含まれていました。 5%が、利用可能な最新バージョンではないコンポーネントを使用していました。 4%には、脆弱なバージョンのLogXNUMXjが含まれていました。
  • 評価されたコードベースは、オープンソースの脆弱性が全体的に減少していることを示しています。 評価されたコードベースの2,097には、セキュリティとオペレーショナルリスクの評価が含まれていました。 リスクの高いオープンソースの脆弱性を含むコードベースの数がさらに劇的に減少しました。 昨年の49%と比較して、今年の監査済みコードベースの60%には、少なくとも81つの高リスクの脆弱性が含まれていました。 さらに、評価されたコードベースの3%には、少なくとも2021つの既知のオープンソースの脆弱性が含まれていました。これは、XNUMX年のOSSRAの調査結果からわずかXNUMX%の減少です。
  • ライセンスの競合も全体的に減少しています。 コードベースの半分以上(53%)にライセンスの競合が含まれており、65年に見られた2020%から大幅に減少しました。一般に、特定のライセンスの競合は2020年から2021年の間に全面的に減少しました。
  • 評価されたコードベースの20%には、ライセンスのない、またはカスタマイズされたライセンスのあるオープンソースが含まれていました。 ソフトウェアライセンスはそれを使用する権利を支配するので、ライセンスのないソフトウェアは、オープンソースコンポーネントの使用が法的リスクを伴うかどうかというジレンマを提示します。 さらに、カスタマイズされたオープンソースライセンスは、ライセンシーに望ましくない要件を課す可能性があり、IPの問題やその他の影響の可能性について法的な評価が必要になることがよくあります。

「SCAソフトウェアのユーザーは、オープンソースライセンスの問題を減らし、リスクの高い脆弱性に対処することに注意を向けてきました。その努力は、ライセンスの競合とリスクの高い脆弱性で今年見られた減少に反映されています」と、セキュリティストラテジストのTimMackeyは述べています。とともに Synopsys サイバーセキュリティ研究センター。 「私たちが監査したコードベースの半分以上にはまだライセンスの競合が含まれており、半分近くにはリスクの高い脆弱性が含まれているという事実が残っています。 さらに厄介なのは、[リスク評価を含む]コードベースの88%に、適用されていない利用可能なアップデートまたはパッチを備えた古いバージョンのオープンソースコンポーネントが含まれていたことです。」

「ソフトウェアを完全に最新の状態に保てないのには正当な理由があります」とマッキーは続けました。 「しかし、組織がコードで使用されているオープンソースの正確で最新のインベントリを保持していない限り、リスクの高いエクスプロイトに対して脆弱になるまで古いコンポーネントを忘れてしまい、スクランブルしてどこにあるかを特定することができます。使用されており、更新するためにオンになっています。 これはまさにLog4jで発生したことであり、ソフトウェアサプライチェーンとソフトウェア部品表(SBOM)が非常にホットなトピックである理由です。」

オープンソースソフトウェアに関連する潜在的なリスクとそれらに対処する方法について詳しく知るには、 2022OSSRAレポートのコピーをダウンロードする, ブログ投稿を読む、または登録する 22月XNUMX日のウェビナー.

約 Synopsys ソフトウェア整合性グループ

Synopsys Software Integrity Groupは、開発チームがソフトウェアを構築および提供する方法を変革する統合ソリューションを提供し、ビジネスリスクに対処しながらイノベーションを加速します。 業界をリードするソフトウェアセキュリティ製品およびサービスのポートフォリオは、世界で最も包括的であり、サードパーティおよびオープンソースツールと相互運用できるため、組織は既存の投資を活用して、最適なセキュリティプログラムを構築できます。 それだけ Synopsys ソフトウェアへの信頼を築くために必要なすべてを提供します。 詳細については、 WWW。synopsys.com / software.

企業概要 Synopsys

Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 S&P 500企業として、 Synopsys 電子設計自動化(EDA)および半導体IPのグローバルリーダーであるという長い歴史があり、アプリケーションセキュリティテストツールおよびサービスの業界で最も幅広いポートフォリオを提供しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者でも、より安全で高品質なコードを作成するソフトウェア開発者でも、 Synopsys 革新的な製品を提供するために必要なソリューションを持っています。 詳細については、 WWW。synopsys.COM.

###