ポストする

シンガポール、@ mcgallen#microwire情報、8年2019月XNUMX日– Synopsys、Inc。 (ナスダック:SNPS)本日、 2019 Open Source Security and Risk Analysis(OSSRA)レポート。 によって作成されたレポート Synopsys サイバーセキュリティ研究センター (CyRC)は、Black Duck Audit Servicesチームが実施した商用アプリケーションおよびライブラリの1,200以上の監査の結果を調査します。 レポートでは、オープンソースの使用における傾向とパターン、および安全でないオープンソースコンポーネントとライセンスの競合の両方の蔓延が強調されています。

レポートに示されているように、過去数年間に組織にリスク管理の課題を提示してきたオープンソースの使用における傾向の多くは、今日も続いています。 ただし、このデータは、多くの組織がオープンソースリスクを管理する能力を向上させ、おそらく商用ソフトウェア構成分析ソリューションの意識の高まりと成熟により、変曲点に到達したことも示唆しています。

「オープンソースは、最新のソフトウェア開発と展開においてますます重要な役割を果たしていますが、その価値を実現するには、セキュリティとライセンスコンプライアンスの観点から、オープンソースがリスク姿勢に与える影響を理解して管理する必要があります」と、 the Synopsys サイバーセキュリティ研究センター。 「2019OSSRAレポートは、商用アプリケーション内のオープンソースリスク管理の状態を垣間見ることができます。 これは、オープンソースのセキュリティの脆弱性とライセンスの競合を含むアプリケーションの大部分で、依然として重大な課題があることを示しています。 しかし、オープンソースの脆弱性とライセンスの競合の数が前年から減少しているため、これらの課題に対処できることも強調しています。」

2019年のOSSRAレポートで特定された最も注目すべきオープンソースリスクの傾向には、次のようなものがあります。

  • オープンソースの採​​用は大幅に増加しています。 2018年に監査されたコードベースの298%にはオープンソースコンポーネントが含まれ、257年の2017に対して、コードベースあたり平均XNUMXのオープンソースコンポーネントが含まれていました。
  • オープンソースライセンスの競合は、知的財産を危険にさらす可能性があります。 コードベースの38%には、何らかのオープンソースライセンスの競合が含まれ、XNUMX%には、識別可能なライセンスのないオープンソースコンポーネントが含まれていました。
  • 「放棄された」コンポーネントの使用は一般的です。 コードベースのXNUMX%には、XNUMX年以上古くなっているか、過去XNUMX年間開発されていないコンポーネントが含まれていました。 コンポーネントが非アクティブで、だれもそれを維持していない場合、それは潜在的な脆弱性に対処している人がいないことを意味します。
  • 多くの組織は、オープンソースコンポーネントのパッチまたは更新に失敗しています。 2018 Black Duck Auditsで特定された脆弱性の平均年齢は6.6歳で、2017年よりわずかに高くなっています。これは、改善策が大幅に改善されていないことを示唆しています。 2018年にスキャンされたコードベースの10%には、16,500年以上前の脆弱性が含まれていました。 2018年にNational Vulnerability DatabaseがXNUMXを超える新しい脆弱性を追加するという背景に対して見た場合、その明確なパッチプロセスは、増加する開示に対応するために拡張する必要があります。
  • すべての脆弱性が同じように作成されているわけではありませんが、多くの組織は最もリスクの高い脆弱性に対処していません。 コードベースの40%以上に、リスクの高いオープンソースの脆弱性が少なくともXNUMXつ含まれていました。

レポートでは、オープンソースソフトウェアの使用自体は問題ではなく、実際にはソフトウェアの革新に不可欠であると述べています。 しかし、オープンソースコンポーネントの使用に関連するセキュリティとライセンスのリスクを事前に特定して管理できないと、非常に損害が大きくなる可能性があります。 2019年のOSSRAデータは、特定されたリスク要因にもかかわらず、Equifax違反の結果として、オープンソースリスクへの意識の高まりと商用ソフトウェア構成分析ソリューションの成熟が前進をもたらしたことを示唆しています。

  • 組織は、オープンソースのセキュリティの脆弱性を管理することでより良くなっています。 2018年に監査されたコードベースの78%には少なくとも2017つの脆弱性が含まれていました。それでも重要ですが、XNUMX年のXNUMX%の数値よりははるかに優れています。
  • 全体として、オープンソースライセンスのコンプライアンスも向上しています。 2018年の監査済みコードベースの74%には、ライセンスの競合があるコンポーネントが含まれていましたが、2017年にはXNUMX%でした。

詳細については、のコピーをダウンロードしてください 2019 OSSRAレポート.

約 Synopsys ソフトウェア整合性プラットフォーム 
Synopsys Software Integrity Groupは、組織が安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら、速度と生産性を最大化するのを支援します。 Synopsysは、アプリケーションセキュリティのリーダーとして認められており、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供します。これにより、チームは独自のコード、オープンソースコンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できます。 業界をリードするツール、サービス、専門知識を組み合わせて、 Synopsys 組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのに役立ちます。 詳細については、 http://www.synopsys.com/software.

企業概要 Synopsys
Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 世界で15番目に大きいソフトウェア会社として、 Synopsys 電子設計自動化(EDA)および半導体IPのグローバルリーダーであるという長い歴史があり、ソフトウェアセキュリティおよび品質ソリューションにおけるリーダーシップも成長しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者であろうと、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者であろうと、 Synopsys 革新的で高品質で安全な製品を提供するために必要なソリューションを備えています。 詳細については、 WWW。synopsys.COM.

###