Poted on

편집자 요약 : 오픈 소스 소프트웨어 (OSS)는 그러한 소프트웨어를 자유롭게 채택 할 수있을뿐만 아니라 전 세계의 자원 봉사자 코더와 감사자가 수행 한 방대한 양의 훌륭한 작업으로 누구나 채택 할 수있는 좋은 소프트웨어와 코드 구성 요소를 만듭니다. Synopsys Cybersecurity Research Center (CyRC)의 최신 OSSRA (Open Source Security and Risk Analysis) 2021 보고서에 따르면, martech, 의료, 금융 서비스, 핀 테크, 소매 및 전자 상거래를 포함한 많은 산업에서 OSS를 광범위하고 깊이있게 채택하고 있습니다. 그렇다면 OSS 채택에 따른 위험은 무엇입니까? 공급 업체의 릴리스는 다음과 같습니다.

Synopsys 연구에 따르면 상용 소프트웨어에서 취약하고 오래되고 폐기 된 오픈 소스 구성 요소가 증가했습니다. 

1,500 개가 넘는 상용 코드베이스를 분석 한 결과 오픈 소스 보안, 라이선스 규정 준수 및 유지 관리 문제가 모든 산업 부문에서 만연하고 있음을 발견했습니다.

싱가포르, @mcgallen #microwireinfo, 14 년 2021 월 XNUMX 일 - Synopsys, Inc. (나스닥 : SNPS) 오늘 출시 2021 년 오픈 소스 보안 및 위험 분석 (OSSRA) 보고서. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 Black Duck® 감사 서비스 팀이 수행 한 1,500 건 이상의 상용 코드베이스 감사 결과를 조사합니다. 이 보고서는 상용 응용 프로그램 내에서 오픈 소스 사용의 추세를 강조하고 상용 및 오픈 소스 개발자가 자신이 속한 상호 연결된 소프트웨어 에코 시스템을 더 잘 이해하는 데 도움이되는 통찰력을 제공합니다. 또한 보안 취약성, 오래되거나 버려진 구성 요소, 라이선스 규정 준수 문제를 포함하여 관리되지 않는 오픈 소스로 인한 만연한 위험에 대해 자세히 설명합니다.

2021 년 OSSRA 보고서는 오픈 소스 소프트웨어가 모든 산업 전반에 걸쳐 대부분의 애플리케이션에 대한 기반을 제공한다고 확인합니다. 또한 이러한 산업은 다양한 수준에서 오픈 소스 위험을 관리하는 데 어려움을 겪고 있음을 보여줍니다.

  • 리드 생성 CRM 및 소셜 미디어를 포함한 마케팅 기술 산업 부문에서 감사를받은 기업의 100 %는 코드베이스에 오픈 소스를 포함하고 있습니다. 마케팅 기술 코드베이스의 95 %는 오픈 소스 취약점을 포함하고 있습니다.
  • 의료 부문 코드베이스의 98 %는 오픈 소스를 포함하고 있습니다. 이러한 코드베이스의 67 %는 취약점을 포함하고 있습니다.
  • 금융 서비스 / 핀 테크 부문 코드베이스의 97 %가 오픈 소스를 포함했습니다. 이러한 코드베이스의 60 % 이상이 취약점을 포함하고 있습니다.
  • 소매 및 전자 상거래 부문의 코드베이스 중 92 %가 오픈 소스를 포함하고 있으며 해당 부문의 코드베이스 중 71 %가 취약점을 포함하고 있습니다.

더욱 우려되는 것은 버려진 오픈 소스 구성 요소의 광범위한 사용입니다. 놀라운 91 %의 코드베이스에는 지난 XNUMX 년 동안 개발 활동이 없었던 오픈 소스 종속성이 포함되어있었습니다. 이는 코드 개선 및 보안 수정 사항이 없음을 의미합니다.

Synopsys Cybersecurity Research Center의 수석 보안 전략가 인 Tim Mackey는 "지난 90 년 동안 코드베이스의 XNUMX % 이상이 개발 활동없이 오픈 소스를 사용하고 있었다는 것은 놀라운 일이 아닙니다."라고 말했습니다. “벤더가 사용자에게 정보를 제공 할 수있는 상용 소프트웨어와 달리 오픈 소스는 번영을 위해 커뮤니티 참여에 의존합니다. 오픈 소스 구성 요소가 그러한 참여없이 상용 제품에 채택되면 프로젝트 활력이 쉽게 약화 될 수 있습니다. 고아가 된 프로젝트는 새로운 문제는 아니지만 발생하면 보안 문제를 해결하는 것이 훨씬 더 어려워집니다. 솔루션은 간단합니다. 성공을 위해 의존하는 프로젝트를 지원하는 데 투자하십시오. "

2021 년 OSSRA 보고서에서 확인 된 다른 오픈 소스 위험 추세는 다음과 같습니다.

  • 상용 소프트웨어의 오래된 오픈 소스 구성 요소가 표준입니다. 코드베이스의 85 %에는 XNUMX 년 이상 오래된 오픈 소스 종속성이 포함되어 있습니다. 버려진 프로젝트와 달리 이러한 오래된 오픈 소스 구성 요소에는 다운 스트림 상용 소비자가 적용하지 않는 업데이트 및 보안 패치를 게시하는 활발한 개발자 커뮤니티가 있습니다. 패치 적용을 무시하는 명백한 보안 의미 외에도 오래된 오픈 소스 구성 요소를 사용하면 향후 업데이트와 관련된 기능 및 호환성 문제의 형태로 다루기 힘든 기술 부채가 발생할 수 있습니다.
  • 오픈 소스 취약점의 확산은 잘못된 방향으로 가고 있습니다. 2020 년에는 취약한 오픈 소스 구성 요소를 포함하는 코드베이스의 비율이 84 %로 증가하여 9 년에 비해 2019 % 증가했습니다. 마찬가지로 고위험 취약성을 포함하는 코드베이스의 비율도 49 %에서 60 %로 증가했습니다. 10 년 코드베이스에서 발견 된 상위 2019 개 오픈 소스 취약성 중 몇 가지가 2020 년 감사에서 다시 나타 났으며 모두 상당한 비율로 증가했습니다.
  • 감사 된 코드베이스의 90 % 이상이 라이선스 충돌, 사용자 지정 라이선스 또는 라이선스가 전혀없는 오픈 소스 구성 요소를 포함했습니다. 65 년에 감사 된 코드베이스의 2020 %는 일반적으로 GNU General Public License와 관련된 오픈 소스 소프트웨어 라이선스 충돌을 포함했습니다. 코드베이스의 26 %는 라이선스가 없거나 사용자 지정 라이선스가없는 오픈 소스를 사용하고있었습니다. 특히 합병 및 인수 거래의 맥락에서 세 가지 문제 모두 잠재적 지적 재산권 침해 및 기타 법적 문제에 대해 평가되어야합니다.

오픈 소스 소프트웨어와 관련된 잠재적 인 위험과이를 해결하는 방법에 대해 자세히 알아 보려면 2021 OSSRA 보고서, 읽기 블로그 게시물, 또는 21 월 XNUMX 일 등록 웹 세미나.

Synopsys 소프트웨어 무결성 그룹 정보

Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 synopsys.com/software.

Synopsys 정보

Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 synopsys.com.

# # #