Poted on

편집자 요약: 오픈 소스 소프트웨어(OSS)는 이러한 소프트웨어를 무료로 채택할 수 있을 뿐만 아니라 전 세계의 자원 봉사 코더와 감사자가 수행한 방대한 양의 훌륭한 작업으로 누구나 채택할 수 있는 우수한 소프트웨어와 코드 구성 요소를 만듭니다. 최신 OSSRA(오픈 소스 보안 및 위험 분석) 2021 보고서에 따르면 Synopsys 사이버 보안 연구 센터(CyRC)는 마테크, 의료, 금융 서비스, 핀테크, 소매 및 전자 상거래를 포함한 많은 산업에서 OSS를 광범위하고 깊이 채택하고 있습니다. 그렇다면 OSS 도입의 위험성은 무엇인가? 벤더의 릴리스는 다음과 같습니다.

Synopsys 연구에 따르면 상용 소프트웨어에서 취약하고 오래되고 버려진 오픈 소스 구성 요소의 증가 

1,500 개가 넘는 상용 코드베이스를 분석 한 결과 오픈 소스 보안, 라이선스 규정 준수 및 유지 관리 문제가 모든 산업 부문에서 만연하고 있음을 발견했습니다.

싱가포르, @mcgallen #microwireinfo, 14 년 2021 월 XNUMX 일 - Synopsys, Inc의. (나스닥 : SNPS) 오늘 출시 2021 년 오픈 소스 보안 및 위험 분석 (OSSRA) 보고서. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 Black Duck® 감사 서비스 팀이 수행 한 1,500 건 이상의 상용 코드베이스 감사 결과를 조사합니다. 이 보고서는 상용 응용 프로그램 내에서 오픈 소스 사용의 추세를 강조하고 상용 및 오픈 소스 개발자가 자신이 속한 상호 연결된 소프트웨어 에코 시스템을 더 잘 이해하는 데 도움이되는 통찰력을 제공합니다. 또한 보안 취약성, 오래되거나 버려진 구성 요소, 라이선스 규정 준수 문제를 포함하여 관리되지 않는 오픈 소스로 인한 만연한 위험에 대해 자세히 설명합니다.

2021 년 OSSRA 보고서는 오픈 소스 소프트웨어가 모든 산업 전반에 걸쳐 대부분의 애플리케이션에 대한 기반을 제공한다고 확인합니다. 또한 이러한 산업은 다양한 수준에서 오픈 소스 위험을 관리하는 데 어려움을 겪고 있음을 보여줍니다.

  • 리드 생성 CRM 및 소셜 미디어를 포함한 마케팅 기술 산업 부문에서 감사를받은 기업의 100 %는 코드베이스에 오픈 소스를 포함하고 있습니다. 마케팅 기술 코드베이스의 95 %는 오픈 소스 취약점을 포함하고 있습니다.
  • 의료 부문 코드베이스의 98 %는 오픈 소스를 포함하고 있습니다. 이러한 코드베이스의 67 %는 취약점을 포함하고 있습니다.
  • 금융 서비스 / 핀 테크 부문 코드베이스의 97 %가 오픈 소스를 포함했습니다. 이러한 코드베이스의 60 % 이상이 취약점을 포함하고 있습니다.
  • 소매 및 전자 상거래 부문의 코드베이스 중 92 %가 오픈 소스를 포함하고 있으며 해당 부문의 코드베이스 중 71 %가 취약점을 포함하고 있습니다.

더욱 우려되는 것은 버려진 오픈 소스 구성 요소의 광범위한 사용입니다. 놀라운 91 %의 코드베이스에는 지난 XNUMX 년 동안 개발 활동이 없었던 오픈 소스 종속성이 포함되어있었습니다. 이는 코드 개선 및 보안 수정 사항이 없음을 의미합니다.

팀 매키(Tim Mackey) 수석 보안 전략가는 "코드베이스의 90% 이상이 지난 XNUMX년 동안 개발 활동 없이 오픈 소스를 사용하고 있었다는 것은 놀라운 일이 아니다"라고 말했다. Synopsys 사이버 보안 연구 센터. “벤더가 사용자에게 정보를 제공할 수 있는 상용 소프트웨어와 달리 오픈 소스는 커뮤니티 참여에 의존합니다. 오픈 소스 구성 요소가 그러한 참여 없이 상용 제품에 채택되면 프로젝트 활력이 쉽게 약해질 수 있습니다. 고아 프로젝트는 새로운 문제가 아니지만 문제가 발생하면 보안 문제를 해결하는 것이 훨씬 더 어려워집니다. 솔루션은 간단합니다. 성공을 위해 의존하는 프로젝트를 지원하는 데 투자하십시오.”

2021 년 OSSRA 보고서에서 확인 된 다른 오픈 소스 위험 추세는 다음과 같습니다.

  • 상용 소프트웨어의 오래된 오픈 소스 구성 요소가 표준입니다. 코드베이스의 85 %에는 XNUMX 년 이상 오래된 오픈 소스 종속성이 포함되어 있습니다. 버려진 프로젝트와 달리 이러한 오래된 오픈 소스 구성 요소에는 다운 스트림 상용 소비자가 적용하지 않는 업데이트 및 보안 패치를 게시하는 활발한 개발자 커뮤니티가 있습니다. 패치 적용을 무시하는 명백한 보안 의미 외에도 오래된 오픈 소스 구성 요소를 사용하면 향후 업데이트와 관련된 기능 및 호환성 문제의 형태로 다루기 힘든 기술 부채가 발생할 수 있습니다.
  • 오픈 소스 취약점의 확산은 잘못된 방향으로 가고 있습니다. 2020 년에는 취약한 오픈 소스 구성 요소를 포함하는 코드베이스의 비율이 84 %로 증가하여 9 년에 비해 2019 % 증가했습니다. 마찬가지로 고위험 취약성을 포함하는 코드베이스의 비율도 49 %에서 60 %로 증가했습니다. 10 년 코드베이스에서 발견 된 상위 2019 개 오픈 소스 취약성 중 몇 가지가 2020 년 감사에서 다시 나타 났으며 모두 상당한 비율로 증가했습니다.
  • 감사 된 코드베이스의 90 % 이상이 라이선스 충돌, 사용자 지정 라이선스 또는 라이선스가 전혀없는 오픈 소스 구성 요소를 포함했습니다. 65 년에 감사 된 코드베이스의 2020 %는 일반적으로 GNU General Public License와 관련된 오픈 소스 소프트웨어 라이선스 충돌을 포함했습니다. 코드베이스의 26 %는 라이선스가 없거나 사용자 지정 라이선스가없는 오픈 소스를 사용하고있었습니다. 특히 합병 및 인수 거래의 맥락에서 세 가지 문제 모두 잠재적 지적 재산권 침해 및 기타 법적 문제에 대해 평가되어야합니다.

오픈 소스 소프트웨어와 관련된 잠재적 인 위험과이를 해결하는 방법에 대해 자세히 알아 보려면 2021 OSSRA 보고서, 읽기 블로그 게시물, 또는 21 월 XNUMX 일 등록 웹 세미나.

정보 Synopsys 소프트웨어 무결성 그룹

Synopsys Software Integrity Group은 개발 팀이 속도와 생산성을 최대화하면서 위험을 최소화하는 안전한 고품질 소프트웨어를 구축할 수 있도록 지원합니다. Synopsys애플리케이션 보안 분야에서 인정받는 리더로서 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약점과 결함을 신속하게 찾고 수정할 수 있도록 합니다. 업계 최고의 도구, 서비스 및 전문 지식의 조합을 통해 오직 Synopsys 조직이 DevSecOps 및 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 및 품질을 최적화할 수 있도록 지원합니다. 자세히 알아보기 synopsys.com/software.

소개 Synopsys

Synopsys, Inc.(Nasdaq: SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을 위한 Silicon to Software™ 파트너입니다. 세계 15위의 소프트웨어 기업으로서, Synopsys 전자 설계 자동화(EDA) 및 반도체 IP 분야의 글로벌 리더로서의 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션에서도 리더십을 성장시키고 있습니다. 고급 반도체를 만드는 SoC(System-on-Chip) 설계자이든, 최고의 보안과 품질이 필요한 응용 프로그램을 작성하는 소프트웨어 개발자이든, Synopsys 혁신적인 고품질 보안 제품을 제공하는 데 필요한 솔루션을 보유하고 있습니다. 자세히 알아보기 synopsys.COM.

# # #