Synopsysのレポートで、既知の脆弱性とライセンスの競合に悩まされているソフトウェアの大部分がオープンソース導入の急増として判明

20171108_synopsys_coverityfeat

調査結果は、Apache Strutsを含む監査対象のコードベースのXNUMX分のXNUMXにも、Equifax違反を引き起こす脆弱性があったことを示しています

シンガポール、@ mcgallen#microwireinfo、15年2018月2018日– Synopsys、Inc。(Nasdaq:SNPS)は本日、1,100年に監査された2017を超える商用コードベースの匿名化されたデータからの調査結果を検証するSynopsys XNUMXオープンソースセキュリティおよびリスク分析(OSSRA)レポートによるBlackDuckをリリースしました。レポートに含まれる業界には、自動車、ビッグデータ、サイバーセキュリティ、エンタープライズソフトウェア、金融サービス、ヘルスケア、モノのインターネット(IoT)、製造、モバイルアプリの市場が含まれます。

このレポートは、スキャンされたアプリケーションの96%にオープンソースコンポーネントが含まれているという、オープンソースの採​​用における大幅な増加を強調しています。 データはまた、コードベースごとに見つかったオープンソースコンポーネントの平均数(257)が前年より75%増加し、多くのアプリケーションがプロプライエタリコードよりも多くのオープンソースを含んでいることも示しています。 気になるのは、調査したコードベースの78%に少なくとも64つのオープンソースの脆弱性があり、コードベースごとに平均54個の脆弱性があったことです。 監査対象のコードベースで見つかった脆弱性のXNUMX%以上が、リスクの高い脆弱性と見なされています。 コードベースのXNUMX%には、Heartbleed、Logjam、Freak、Drown、またはPoodleなどの非常に公表された脆弱性が含まれていました。

「最新のソフトウェアとインフラストラクチャはオープンソーステクノロジーに大きく依存しているため、使用中のコンポーネントを明確に把握することは、コーポレートガバナンスの重要な部分です」と、シノプシスのBlack DuckのテクニカルエバンジェリストであるTim Mackeyは述べています。 「このレポートは、オープンソースの使用の増加に伴い、オープンソースコンポーネントの脆弱性を検出し、オープンソースの使用に必要なすべてのライセンスコンプライアンスを管理するツールを組織が確実に備える必要があることを明確に示しています。」

脆弱なオープンソースコンポーネントが、あらゆる業界のアプリケーションに見つかりました。 インターネットおよびソフトウェアインフラストラクチャの分野では、リスクの高いオープンソースの脆弱性を含むアプリケーションの割合が最も高く(67%)ました。 皮肉なことに、サイバーセキュリティ業界のアプリケーションの41%には、リスクの高いオープンソースの脆弱性があり、そのカテゴリをXNUMX番目に高いリスクに分類しています。

さらに、Apache Strutsを含む監査済みコードベースの33%には、Equifax違反の原因となる脆弱性も含まれていました。 レポートは明らかに、組織がますます多くの脆弱性をコードベースに蓄積することを許可していることを示しています。 平均して、監査で特定された脆弱性は、ほぼXNUMX年前に開示されました。

「EquifaxがApacheStrutsの脆弱性によって侵害されたとき、オープンソースのセキュリティ管理の必要性が一面のニュースになりました」と、OSSRAレポートを担当するBlackDuck製品マーケティングマネージャーのEvanKleinは述べています。 「2017年XNUMX月に公開されたにもかかわらず、多くの組織はまだStrutsの脆弱性についてアプリケーションをチェックしていないようです。」

Based on the findings, 74 percent of the codebases audited also contained components with license conflicts, the most common of which were GPL license violations.調査結果に基づくと、監査されたコードベースの61%には、ライセンスの競合があるコンポーネントも含まれており、その中で最も一般的なのはGPLライセンス違反でした。 The percentage of applications with license conflicts within verticals ranged from the Retail and E-commerce industry's relative low of 100 percent to the high of the Telecommunications and Wireless industry—where XNUMX percent of the code scanned had some form of open source license conflict.業種内でライセンスの競合があるアプリケーションの割合は、小売およびEコマース業界の比較的低いXNUMX%から、スキャンされたコードのXNUMX%に何らかの形のオープンソースライセンスの競合があった電気通信およびワイヤレス業界の最高までの範囲でした。

OSSRAレポートをダウンロードするには、次のWebサイトにアクセスしてください。 https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

Synopsys Software Integrity Platformについて
Synopsys Software Integrity Groupは、組織が安全で高品質なソフトウェアを構築し、リスクを最小限に抑えながらスピードと生産性を最大化するのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最大化し、ソフトウェア開発ライフサイクル全体を支援できるようにします。 詳細は www.synopsys.com/software.

シノプシスについて
Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###