ポストする

調査結果は、Apache Strutsを含む監査対象のコードベースのXNUMX分のXNUMXにも、Equifax違反を引き起こす脆弱性があったことを示しています

シンガポール、@ mcgallen#microwire情報、15年2018月XNUMX日– Synopsys、Inc。(Nasdaq:SNPS)は本日、BlackDuckをリリースしました。 Synopsys 2018年のオープンソースセキュリティおよびリスク分析(OSSRA)レポート。これは、1,100年に監査された2017を超える商用コードベースの匿名化されたデータからの調査結果を検証します。レポートに含まれる業界には、自動車、ビッグデータ、サイバーセキュリティ、エンタープライズソフトウェア、金融サービス、ヘルスケアが含まれます。 、Internet of Things(IoT)、製造、およびモバイルアプリ市場。

このレポートは、スキャンされたアプリケーションの96%にオープンソースコンポーネントが含まれているという、オープンソースの採​​用における大幅な増加を強調しています。 データはまた、コードベースごとに見つかったオープンソースコンポーネントの平均数(257)が前年より75%増加し、多くのアプリケーションがプロプライエタリコードよりも多くのオープンソースを含んでいることも示しています。 気になるのは、調査したコードベースの78%に少なくとも64つのオープンソースの脆弱性があり、コードベースごとに平均54個の脆弱性があったことです。 監査対象のコードベースで見つかった脆弱性のXNUMX%以上が、リスクの高い脆弱性と見なされています。 コードベースのXNUMX%には、Heartbleed、Logjam、Freak、Drown、またはPoodleなどの非常に公表された脆弱性が含まれていました。

「最新のソフトウェアとインフラストラクチャはオープンソーステクノロジーに大きく依存しているため、使用中のコンポーネントを明確に把握することは、コーポレートガバナンスの重要な部分です」とBlackDuckの技術エバンジェリストであるTimMackeyは述べています。 Synopsys。 「レポートは、オープンソースの使用が増えるにつれ、組織はオープンソースコンポーネントの脆弱性を検出し、オープンソースの使用に必要なライセンスコンプライアンスを管理するためのツールを確実に用意する必要があることを明確に示しています。」

脆弱なオープンソースコンポーネントが、あらゆる業界のアプリケーションに見つかりました。 インターネットおよびソフトウェアインフラストラクチャの分野では、リスクの高いオープンソースの脆弱性を含むアプリケーションの割合が最も高く(67%)ました。 皮肉なことに、サイバーセキュリティ業界のアプリケーションの41%には、リスクの高いオープンソースの脆弱性があり、そのカテゴリをXNUMX番目に高いリスクに分類しています。

さらに、Apache Strutsを含む監査済みコードベースの33%には、Equifax違反の原因となる脆弱性も含まれていました。 レポートは明らかに、組織がますます多くの脆弱性をコードベースに蓄積することを許可していることを示しています。 平均して、監査で特定された脆弱性は、ほぼXNUMX年前に開示されました。

「EquifaxがApacheStrutsの脆弱性によって侵害されたとき、オープンソースのセキュリティ管理の必要性が一面のニュースになりました」と、OSSRAレポートを担当するBlackDuck製品マーケティングマネージャーのEvanKleinは述べています。 「2017年XNUMX月に公開されたにもかかわらず、多くの組織はまだStrutsの脆弱性についてアプリケーションをチェックしていないようです。」

Based on the findings, 74 percent of the codebases audited also contained components with license conflicts, the most common of which were GPL license violations.調査結果に基づくと、監査されたコードベースの61%には、ライセンスの競合があるコンポーネントも含まれており、その中で最も一般的なのはGPLライセンス違反でした。 The percentage of applications with license conflicts within verticals ranged from the Retail and E-commerce industry's relative low of 100 percent to the high of the Telecommunications and Wireless industry—where XNUMX percent of the code scanned had some form of open source license conflict.業種内でライセンスの競合があるアプリケーションの割合は、小売およびEコマース業界の比較的低いXNUMX%から、スキャンされたコードのXNUMX%に何らかの形のオープンソースライセンスの競合があった電気通信およびワイヤレス業界の最高までの範囲でした。

OSSRAレポートをダウンロードするには、次のWebサイトにアクセスしてください。 https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

約 Synopsys ソフトウェア整合性プラットフォーム
Synopsys Software Integrity Groupは、組織が安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら、速度と生産性を最大化するのを支援します。 Synopsysは、アプリケーションセキュリティのリーダーとして認められており、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供します。これにより、チームは独自のコード、オープンソースコンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できます。 業界をリードするツール、サービス、専門知識を組み合わせて、 Synopsys 組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最大化するのに役立ちます。 詳細については、 WWW。synopsys.com / software.

企業概要 Synopsys
Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 世界で15番目に大きいソフトウェア会社として、 Synopsys 電子設計自動化(EDA)および半導体IPのグローバルリーダーであるという長い歴史があり、ソフトウェアセキュリティおよび品質ソリューションにおけるリーダーシップも成長しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者であろうと、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者であろうと、 Synopsys 革新的で高品質で安全な製品を提供するために必要なソリューションを備えています。 詳細については、 WWW。synopsys.COM.

###