코드 언스플래쉬

상용 앱의 91%는 OSS 구성 요소가 오래되었거나 폐기된 것으로 확인되었습니다. Synopsys 공부

편집자 요약: 오픈 소스 소프트웨어(OSS)는 완성된 형태든 소프트웨어나 앱의 일부를 구성하는 구성 요소든 점점 더 대중화되고 있습니다. 모듈식 코드는 갈 길입니다. 저장소를 샅샅이 뒤지고 사용자 정의 소프트웨어에 간단히 연결할 수 있는 소프트웨어 조각이나 모듈을 찾는 것보다 더 쉬운 방법은 무엇입니까? 시간과 돈이 절약되겠죠? 그러나 편의성은 종종 사이버 보안의 골칫거리입니다. 처럼 Synopsys 상용 앱의 91%에는 오래된 OSS 구성 요소가 포함되어 있거나 심지어는 폐기된 OSS 구성 요소가 포함되어 있어 심각한 사이버 보안 위험과 취약성을 유발할 수 있으며 그 중 일부는 복구가 불가능할 수도 있습니다. 대안이 없는 경우 이러한 포기웨어를 대체하기 위해 새 코드를 처음부터 새로 작성해야 할 수 있으며 추가 비용이 발생합니다. 아래에서 더 읽어보세요.

싱가포르- Synopsys, Inc의. (나스닥 : SNPS) 오늘 출시 2020 년 오픈 소스 보안 및 위험 분석 (OSSRA) 보고서. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 Black Duck Audit Services 팀이 수행 한 1,250 건 이상의 상용 코드베이스 감사 결과를 조사합니다. 이 보고서는 상용 애플리케이션 내에서 오픈 소스 사용의 추세와 패턴을 강조하고 조직이 보안, 라이선스 규정 준수 및 운영 관점에서 오픈 소스 위험을 더 잘 관리하는 데 도움이되는 통찰력과 권장 사항을 제공합니다.

2020 년 OSSRA 보고서는 오늘날의 소프트웨어 생태계에서 오픈 소스가 수행하는 중요한 역할을 재확인하여 지난 99 년 동안 감사 된 코드베이스의 모든 (70 %)이 적어도 하나의 오픈 소스 구성 요소를 포함하고 있으며 오픈 소스는 코드의 91 %를 차지함을 보여줍니다. 사무용 겉옷. 더욱 주목할만한 것은 노후화되거나 폐기 된 오픈 소스 구성 요소가 지속적으로 광범위하게 사용되고 있다는 것입니다. 코드베이스의 XNUMX %에는 XNUMX 년 이상 구식이거나 지난 XNUMX 년 동안 개발 활동이 없었던 구성 요소가 포함되어 있습니다.

올해 분석에서 가장 우려되는 추세는 관리되지 않는 오픈 소스로 인한 보안 위험 증가로, 감사 된 코드베이스의 75 %는 알려진 보안 취약점이있는 오픈 소스 구성 요소를 포함하고 있으며 이는 전년의 60 %에서 증가했습니다. 마찬가지로 코드베이스의 거의 절반 (49 %)이 위험 40 개월 전 12 %에 비해 취약성입니다.

팀 맥키(Tim Mackey) 수석 보안 전략가는 "현대 소프트웨어 개발 및 배포에서 오픈 소스가 수행하는 중요한 역할을 무시하기는 어렵지만 보안 및 라이선스 준수 관점에서 애플리케이션 위험 상태에 미치는 영향을 간과하기 쉽습니다."라고 말했습니다. Synopsys 사이버 보안 연구 센터. “2020 OSSRA 보고서는 조직이 오픈 소스 위험을 효과적으로 추적하고 관리하기 위해 계속해서 고군분투하는 방식을 강조합니다. 오픈 소스 종속성을 포함하여 타사 소프트웨어 구성 요소의 정확한 인벤토리를 유지하고 최신 상태로 유지하는 것이 여러 수준에서 애플리케이션 위험을 해결하기 위한 핵심 출발점입니다.”

2020 년 OSSRA 보고서에서 확인 된 가장 주목할만한 오픈 소스 위험 추세의 요약은 다음과 같습니다.

  • 오픈 소스 채택은 계속해서 급증하고 있습니다. 코드베이스의 445 %는 코드베이스 당 평균 298 개의 오픈 소스 구성 요소를 포함하여 적어도 일부 오픈 소스를 포함하고 있습니다. 이는 2018 년 60 개에서 크게 증가한 수치입니다. 감사 된 코드의 2018 %는 오픈 소스로 식별되었으며, 이는 2015에서 증가한 수치입니다. %이며 36 년 (XNUMX %) 이후 거의 두 배가되었습니다.
  • 오래되고 "포기 된"오픈 소스 구성 요소가 널리 퍼져 있습니다. 코드베이스의 XNUMX %는 XNUMX 년 이상 오래되었거나 지난 XNUMX 년 동안 개발 활동이 없었던 구성 요소를 포함했습니다. 보안 취약성이 존재할 가능성이 높아지는 것 외에도 오래된 오픈 소스 구성 요소를 사용할 경우 업데이트하면 원하지 않는 기능이나 호환성 문제가 발생할 수 있습니다.
  • 취약한 오픈 소스 구성 요소의 사용이 다시 상승 추세입니다. 2019 년에는 취약한 오픈 소스 구성 요소를 포함하는 코드베이스의 비율이 75 년과 78 년 사이 60 %에서 2017 %로 감소한 후 2018 %로 증가했습니다. 마찬가지로 고위험 취약성이 포함 된 코드베이스의 비율은 49 년 2019 %에서 40 %로 증가했습니다. 다행히 2018 년 감사 된 코드베이스 중 어느 것도 2019 년 Equifax를 괴롭힌 악명 높은 Heartbleed 버그 또는 Apache Struts 취약점의 영향을받지 않았습니다.
  • 오픈 소스 라이선스 충돌은 계속해서 지적 재산을 위험에 빠뜨리고 있습니다. "무료"라는 명성에도 불구하고 오픈 소스 소프트웨어는 라이센스에 의해 사용된다는 점에서 다른 소프트웨어와 다르지 않습니다. 코드베이스의 33 %는 일종의 오픈 소스 라이선스 충돌을 포함하고 있으며 93 %는 식별 가능한 라이선스가없는 오픈 소스 구성 요소를 포함했습니다. 라이선스 충돌의 유병률은 산업별로 크게 다르며 59 % (인터넷 및 모바일 앱)에서 상대적으로 낮은 XNUMX % (가상 현실, 게임, 엔터테인먼트, 미디어)까지 다양했습니다.

자세한 내용을 보려면 2020 OSSRA 보고서.

20200513_snps_ossra_2020_infogrp
Synopsys 오픈 소스 보안 및 위험 분석 보고서(OSSRA) 2020 – 스냅샷

# # #