Synopsysの調査によると、1,200を超える商用アプリケーションおよびライブラリの調査で、大多数が依然としてオープンソースのセキュリティの脆弱性とライセンスの競合を抱えていることがわかりました

20171108_synopsys_coverityfeat

シンガポール、@ mcgallen#microwire情報、8年2019月XNUMX日– シノプシス。 (ナスダック:SNPS)本日、 2019 Open Source Security and Risk Analysis(OSSRA)レポート。 によって作成されたレポート Synopsysサイバーセキュリティリサーチセンター (CyRC)は、Black Duck Audit Servicesチームが実施した商用アプリケーションおよびライブラリの1,200以上の監査の結果を調査します。 レポートでは、オープンソースの使用における傾向とパターン、および安全でないオープンソースコンポーネントとライセンスの競合の両方の蔓延が強調されています。

レポートに示されているように、過去数年間に組織にリスク管理の課題を提示してきたオープンソースの使用における傾向の多くは、今日も続いています。 ただし、このデータは、多くの組織がオープンソースリスクを管理する能力を向上させ、おそらく商用ソフトウェア構成分析ソリューションの意識の高まりと成熟により、変曲点に到達したことも示唆しています。

「オープンソースは、現代のソフトウェア開発と展開においてますます重要な役割を果たしていますが、その価値を実現するには、セキュリティとライセンスコンプライアンスの観点から、リスクポスチャにどのように影響するかを組織が理解し、管理する必要があります。シノプシスサイバーセキュリティ研究センター。 「2019年のOSSRAレポートは、商用アプリケーション内のオープンソースリスク管理の現状を垣間見せてくれます。 これは、オープンソースのセキュリティの脆弱性とライセンスの競合を含むアプリケーションの大半で、依然として重大な課題があることを示しています。 しかし、オープンソースの脆弱性とライセンスの競合の数が前年より減少しているため、これらの課題に対処できることも強調しています。」

2019年のOSSRAレポートで特定された最も注目すべきオープンソースリスクの傾向には、次のようなものがあります。

  • オープンソースの採​​用は大幅に増加しています。 2018年に監査されたコードベースの298%にはオープンソースコンポーネントが含まれ、257年の2017に対して、コードベースあたり平均XNUMXのオープンソースコンポーネントが含まれていました。
  • オープンソースライセンスの競合は、知的財産を危険にさらす可能性があります。 コードベースの38%には、何らかのオープンソースライセンスの競合が含まれ、XNUMX%には、識別可能なライセンスのないオープンソースコンポーネントが含まれていました。
  • 「放棄された」コンポーネントの使用は一般的です。 コードベースのXNUMX%には、XNUMX年以上古くなっているか、過去XNUMX年間開発されていないコンポーネントが含まれていました。 コンポーネントが非アクティブで、だれもそれを維持していない場合、それは潜在的な脆弱性に対処している人がいないことを意味します。
  • 多くの組織は、オープンソースコンポーネントのパッチまたは更新に失敗しています。 2018 Black Duck Auditsで特定された脆弱性の平均年齢は6.6歳で、2017年よりわずかに高くなっています。これは、改善策が大幅に改善されていないことを示唆しています。 2018年にスキャンされたコードベースの10%には、16,500年以上前の脆弱性が含まれていました。 2018年にNational Vulnerability DatabaseがXNUMXを超える新しい脆弱性を追加するという背景に対して見た場合、その明確なパッチプロセスは、増加する開示に対応するために拡張する必要があります。
  • すべての脆弱性が同じように作成されているわけではありませんが、多くの組織は最もリスクの高い脆弱性に対処していません。 コードベースの40%以上に、リスクの高いオープンソースの脆弱性が少なくともXNUMXつ含まれていました。

レポートでは、オープンソースソフトウェアの使用自体は問題ではなく、実際にはソフトウェアの革新に不可欠であると述べています。 しかし、オープンソースコンポーネントの使用に関連するセキュリティとライセンスのリスクを事前に特定して管理できないと、非常に損害が大きくなる可能性があります。 2019年のOSSRAデータは、特定されたリスク要因にもかかわらず、Equifax違反の結果として、オープンソースリスクへの意識の高まりと商用ソフトウェア構成分析ソリューションの成熟が前進をもたらしたことを示唆しています。

  • 組織は、オープンソースのセキュリティの脆弱性を管理することでより良くなっています。 2018年に監査されたコードベースの78%には少なくとも2017つの脆弱性が含まれていました。それでも重要ですが、XNUMX年のXNUMX%の数値よりははるかに優れています。
  • 全体として、オープンソースライセンスのコンプライアンスも向上しています。 2018年の監査済みコードベースの74%には、ライセンスの競合があるコンポーネントが含まれていましたが、2017年にはXNUMX%でした。

詳細については、のコピーをダウンロードしてください 2019 OSSRAレポート.

Synopsys Software Integrity Platformについて 
Synopsys Software Integrity Groupは、組織が安全で高品質なソフトウェアを構築し、リスクを最小限に抑えながらスピードと生産性を最大化するのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は http://www.synopsys.com/software.

シノプシスについて
Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###