Poted on

편집자 요약 : 완성 된 형태이든 소프트웨어 나 앱의 일부를 구성하는 구성 요소이든 관계없이 오픈 소스 소프트웨어 (OSS)가 점점 인기를 얻고 있습니다. 모듈 식 코드는 갈 길이며, 리포지토리를 샅샅이 뒤져서 사용자 지정 소프트웨어에 간단히 연결할 수있는 소프트웨어 조각이나 모듈을 찾는 더 쉬운 방법은 무엇입니까? 시간과 돈을 절약 할 수 있죠? 그러나 편의성은 종종 사이버 보안의 골칫거리입니다. Synopsys가 알아 낸 바와 같이, 상업용 앱의 91 %는 오래되었거나 심지어 버려진 OSS 구성 요소를 포함하고있어 심각한 사이버 보안 위험과 취약성을 유발할 수 있으며, 그중 일부는 복구 불가능할 수도 있습니다. 대안을 찾을 수없는 경우 추가 비용을 지불하고 이러한 포기 소프트웨어를 교체하기 위해 새 코드를 처음부터 작성해야 할 수 있습니다. 공급 업체의 보도 자료는 아래에서 확인할 수 있습니다.

Synopsys 연구에 따르면 상용 응용 프로그램의 XNUMX %에 오래되거나 버려진 오픈 소스 구성 요소가 포함되어 있습니다. 

1,250 개 이상의 상용 코드베이스를 분석 한 결과 오픈 소스 보안, 라이선스 준수 및 운영 위험이 여전히 널리 퍼져 있음을 발견했습니다.

싱가포르, @mcgallen #microwireinfo, 13 년 2020 월 XNUMX 일 - Synopsys, Inc. (나스닥 : SNPS) 오늘 출시 2020 년 오픈 소스 보안 및 위험 분석 (OSSRA) 보고서. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 Black Duck Audit Services 팀이 수행 한 1,250 건 이상의 상용 코드베이스 감사 결과를 조사합니다. 이 보고서는 상용 애플리케이션 내에서 오픈 소스 사용의 추세와 패턴을 강조하고 조직이 보안, 라이선스 규정 준수 및 운영 관점에서 오픈 소스 위험을 더 잘 관리하는 데 도움이되는 통찰력과 권장 사항을 제공합니다.

2020 년 OSSRA 보고서는 오늘날의 소프트웨어 생태계에서 오픈 소스가 수행하는 중요한 역할을 재확인하여 지난 99 년 동안 감사 된 코드베이스의 모든 (70 %)이 적어도 하나의 오픈 소스 구성 요소를 포함하고 있으며 오픈 소스는 코드의 91 %를 차지함을 보여줍니다. 사무용 겉옷. 더욱 주목할만한 것은 노후화되거나 폐기 된 오픈 소스 구성 요소가 지속적으로 광범위하게 사용되고 있다는 것입니다. 코드베이스의 XNUMX %에는 XNUMX 년 이상 구식이거나 지난 XNUMX 년 동안 개발 활동이 없었던 구성 요소가 포함되어 있습니다.

올해 분석에서 가장 우려되는 추세는 관리되지 않는 오픈 소스로 인한 보안 위험 증가로, 감사 된 코드베이스의 75 %는 알려진 보안 취약점이있는 오픈 소스 구성 요소를 포함하고 있으며 이는 전년의 60 %에서 증가했습니다. 마찬가지로 코드베이스의 거의 절반 (49 %)이 위험 40 개월 전 12 %에 비해 취약성입니다.

Synopsys의 수석 보안 전략가 인 Tim Mackey는 "최신 소프트웨어 개발 및 배포에서 오픈 소스가 수행하는 중요한 역할을 무시하는 것은 어렵지만 보안 및 라이센스 준수 관점에서 애플리케이션 위험 상태에 미치는 영향을 간과하기 쉽습니다." 사이버 보안 연구 센터. “2020 OSSRA 보고서는 조직이 오픈 소스 위험을 효과적으로 추적하고 관리하기 위해 지속적으로 노력하는 방식을 강조합니다. 오픈 소스 종속성을 포함하여 타사 소프트웨어 구성 요소의 정확한 인벤토리를 유지하고이를 최신 상태로 유지하는 것이 여러 수준에서 애플리케이션 위험을 해결하기위한 핵심 시작점입니다. "

2020 년 OSSRA 보고서에서 확인 된 가장 주목할만한 오픈 소스 위험 추세의 요약은 다음과 같습니다.

  • 오픈 소스 채택은 계속해서 급증하고 있습니다. 코드베이스의 445 %는 코드베이스 당 평균 298 개의 오픈 소스 구성 요소를 포함하여 적어도 일부 오픈 소스를 포함하고 있습니다. 이는 2018 년 60 개에서 크게 증가한 수치입니다. 감사 된 코드의 2018 %는 오픈 소스로 식별되었으며, 이는 2015에서 증가한 수치입니다. %이며 36 년 (XNUMX %) 이후 거의 두 배가되었습니다.
  • 오래되고 "포기 된"오픈 소스 구성 요소가 널리 퍼져 있습니다. 코드베이스의 XNUMX %는 XNUMX 년 이상 오래되었거나 지난 XNUMX 년 동안 개발 활동이 없었던 구성 요소를 포함했습니다. 보안 취약성이 존재할 가능성이 높아지는 것 외에도 오래된 오픈 소스 구성 요소를 사용할 경우 업데이트하면 원하지 않는 기능이나 호환성 문제가 발생할 수 있습니다.
  • 취약한 오픈 소스 구성 요소의 사용이 다시 상승 추세입니다. 2019 년에는 취약한 오픈 소스 구성 요소를 포함하는 코드베이스의 비율이 75 년과 78 년 사이 60 %에서 2017 %로 감소한 후 2018 %로 증가했습니다. 마찬가지로 고위험 취약성이 포함 된 코드베이스의 비율은 49 년 2019 %에서 40 %로 증가했습니다. 다행히 2018 년 감사 된 코드베이스 중 어느 것도 2019 년 Equifax를 괴롭힌 악명 높은 Heartbleed 버그 또는 Apache Struts 취약점의 영향을받지 않았습니다.
  • 오픈 소스 라이선스 충돌은 계속해서 지적 재산을 위험에 빠뜨리고 있습니다. "무료"라는 명성에도 불구하고 오픈 소스 소프트웨어는 라이센스에 의해 사용된다는 점에서 다른 소프트웨어와 다르지 않습니다. 코드베이스의 33 %는 일종의 오픈 소스 라이선스 충돌을 포함하고 있으며 93 %는 식별 가능한 라이선스가없는 오픈 소스 구성 요소를 포함했습니다. 라이선스 충돌의 유병률은 산업별로 크게 다르며 59 % (인터넷 및 모바일 앱)에서 상대적으로 낮은 XNUMX % (가상 현실, 게임, 엔터테인먼트, 미디어)까지 다양했습니다.

자세한 내용을 보려면 2020 OSSRA 보고서.

20200513_snps_ossra_2020_infogrp
Synopsys 오픈 소스 보안 및 위험 분석 보고서 (OSSRA) 2020 – 스냅 샷

Synopsys 소프트웨어 무결성 그룹 정보
Synopsys Software Integrity Group은 개발 팀이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보
Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #