Poted on

편집자 요약 : 글로벌 위기로 인해 정부와 기업은 전염병의 영향을 해결하는 동시에 비용 억제를 더욱 진지하게 생각하게되었지만 오픈 소스 소프트웨어 (OSS) 채택이 중요해졌습니다. 최종 사용자 수준과 SDLC (소프트웨어 개발 수명주기) 단계 모두에서 OSS를 채택함에 따라 코드 무결성 및 보안에 대한 필요성이 가장 중요해졌습니다. 그러나 OSS 구성 요소의 패치 속도가 빨라지고 있습니까? 공급 업체의 릴리스는 다음과 같습니다.

Synopsys 연구에 따르면 오픈 소스 보안이 최우선이지만 패치 속도가 너무 느림

1,500 명의 IT 전문가를 대상으로 한 글로벌 설문 조사에 따르면 전 세계 응답자의 40 %가 오픈 소스 취약점을 해결하기 위해 제공 일정이 중단 된 것으로 나타났습니다.

싱가포르, @mcgallen #microwireinfo, 9 년 2020 월 XNUMX 일 - Synopsys, Inc. (나스닥 : SNPS) 오늘 보고서를 발표했습니다. 2020 년 DevSecOps 관행 및 오픈 소스 관리. 제작 Synopsys 사이버 보안 연구소 (CyRC) 보고서는 사이버 보안, 소프트웨어 개발, 소프트웨어 엔지니어링 및 웹 개발 분야에서 일하는 1,500 명의 IT 전문가를 대상으로 한 설문 조사 결과를 강조합니다. 이 보고서는 전 세계 조직이 오픈 소스 취약성 관리를 해결하기 위해 사용하는 전략과 상용 코드에서 오래되거나 버려진 오픈 소스 구성 요소의 증가하는 문제를 조사합니다.

오픈 소스는 오늘날의 소프트웨어 생태계에서 중요한 역할을합니다. 압도적 인 대부분의 현대 코드베이스에는 오픈 소스 구성 요소가 포함되어 있으며 오픈 소스는 전체 코드의 70 % 이상을 차지하는 경우가 많습니다. 그러나 오픈 소스 사용의 증가와 병행하는 것은 관리되지 않는 오픈 소스로 인한 보안 위험 증가입니다. 사실에 따르면 2020 OSSRA 보고서, Synopsys가 감사 한 코드베이스의 75 %에는 알려진 보안 취약점이있는 오픈 소스 구성 요소가 포함되어 있습니다. 이러한 상황에 대처하기 위해 설문 응답자들은 새로운 오픈 소스 구성 요소를 검토 할 때 알려진 보안 취약점을 XNUMX 순위 기준으로 식별했습니다.

"패치되지 않은 취약점이 개발자의 고통과 궁극적으로 비즈니스 위험의 주요 원인이라는 것은 분명합니다." Synopsys Cybersecurity Research Center의 수석 보안 전략가 인 Tim Mackey는 말했습니다. " '2020 년의 DevSecOps 사례 및 오픈 소스 관리'보고서는 조직이 오픈 소스 위험을 효과적으로 추적하고 관리하기 위해 어떻게 고군분투하고 있는지를 강조합니다."

"절반 이상 (51 %)은 오픈 소스 패치를 적용하는 데 38 ​​~ XNUMX 주가 걸린다고 답했습니다."라고 Mackey는 계속했습니다. “이는 XNUMX %만이 자동화 된 소프트웨어 구성 분석 (SCA) 도구를 사용하여 사용중인 오픈 소스 구성 요소와 업데이트 출시시기를 식별한다는 사실과 관련이있을 수 있습니다. 나머지 조직은 아마도 수동 프로세스를 사용하여 오픈 소스를 관리하고있을 것입니다. 프로세스는 개발 및 운영 팀의 속도를 늦추고 평균적으로 매일 수십 건의 새로운 보안 공개가 게시되는 환경에서 보안을 따라 잡도록 만들 수 있습니다. "

"2020 년의 DevSecOps 관행 및 오픈 소스 관리"보고서에서 주목할만한 다른 발견은 다음과 같습니다.

  • DevSecOps는 전 세계적으로 빠르게 성장하고 있습니다. 응답자의 총 63 %는 DevSecOps 활동의 일부를 소프트웨어 개발 파이프 라인에 통합하고 있다고 답했습니다.
  • 보편적으로 채택 된 AST (응용 프로그램 보안 테스트) 도구는 없습니다. 설문 조사 질문에 대한 응답에서 알 수 있듯이 애플리케이션 보안 테스트 도구와 기술은 부족하지 않습니다. 그러나 채택률이 가장 높은 AST 도구조차도 응답자의 절반 미만 만이 여전히 활용하고 있습니다.
  • 미디어는 오픈 소스 위험 관리에서 중요한 역할을합니다. 응답자의 XNUMX %는 언론 보도로 인해 조직이 오픈 소스 사용에 대해보다 엄격한 통제를 적용해야한다고 답했습니다.
  • 응답자의 XNUMX %가 사용하는 오픈 소스 구성 요소의 시대에 대한 표준을 정의하고 있습니다.. 오픈 소스 커뮤니티에서 증가하는 문제는 프로젝트 지속 가능성입니다. 2020 년 Synopsys 연구 91 년에 감사 된 코드베이스의 2019 %가 2018 년 이상 오래되었거나 지난 XNUMX 년 동안 개발 활동이 없었던 오픈 소스 구성 요소를 포함하고있는 것으로 나타났습니다. 오픈 소스 구성 요소가 하이재킹되는 위협을 포함하여 오래된 코드가 배포되면 보안 위험이 증가합니다. 이러한 상황은 XNUMX 년에 Copay 계정에서 비트 코인을 표적으로 삼기 위해 이벤트 스트림 구성 요소가 탈취되었을 때 발생했습니다.

자세한 내용을 보려면 2020 년 DevSecOps 관행 및 오픈 소스 관리 보고합니다.

Synopsys 소프트웨어 무결성 그룹 정보

Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보

Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #