Poted on

결과는 Apache Struts를 포함하는 감사 된 코드베이스의 XNUMX/XNUMX이 Equifax 침해를 초래 한 취약성을 가지고 있음을 보여줍니다.

싱가포르, @mcgallen #microwireinfo, 15 년 2018 월 2018 일 – Synopsys, Inc. (Nasdaq : SNPS)는 오늘 Black Duck by Synopsys 1,100 Open Source Security and Risk Analysis (OSSRA) 보고서를 발표했습니다.이 보고서는 2017 년 감사 된 XNUMX 개가 넘는 상용 코드베이스의 익명 데이터에서 얻은 결과를 조사합니다. 보고서에 포함 된 산업에는 자동차, 빅 데이터, 사이버 보안, 엔터프라이즈 소프트웨어, 금융 서비스, 의료, 사물 인터넷 (IoT), 제조 및 모바일 앱 시장이 포함됩니다.

이 보고서는 스캔 된 애플리케이션의 96 %가 오픈 소스 구성 요소를 포함하여 오픈 소스 채택이 크게 증가했음을 강조합니다. 데이터는 또한 코드베이스 당 발견 된 평균 오픈 소스 구성 요소 수 (257 개)가 전년 대비 75 % 증가했으며 많은 애플리케이션이 독점 코드보다 더 많은 오픈 소스를 포함하고 있음을 보여줍니다. 우려되는 점은 조사 된 코드베이스의 78 %가 하나 이상의 오픈 소스 취약점을 포함하고 있으며 코드베이스 당 평균 64 개의 취약점이 있다는 것입니다. 감사 된 코드베이스에서 발견 된 취약점의 54 % 이상이 고위험 취약점으로 간주됩니다. 코드베이스의 XNUMX %는 Heartbleed, Logjam, Freak, Drown 또는 Poodle과 같이 널리 알려진 취약점을 포함하고 있습니다.

Synopsys의 Black Duck 기술 전도사 인 Tim Mackey는“현대 소프트웨어와 인프라가 오픈 소스 기술에 크게 의존하기 때문에 사용중인 구성 요소를 명확하게 파악하는 것이 기업 지배 구조의 핵심 부분입니다. "이 보고서는 오픈 소스 사용이 증가함에 따라 조직이 오픈 소스 구성 요소의 취약성을 감지하고 오픈 소스 사용에 필요한 라이선스 규정 준수를 관리 할 수있는 도구를 확보해야 함을 분명히 보여줍니다."

취약한 오픈 소스 구성 요소는 모든 산업의 애플리케이션에서 발견되었습니다. 인터넷 및 소프트웨어 인프라 업종은 고위험 오픈 소스 취약성이 포함 된 애플리케이션 중 가장 높은 비율 (67 %)을 차지했습니다. 아이러니하게도 사이버 보안 산업의 애플리케이션 중 41 %가 고위험 오픈 소스 취약성을 가지고있는 것으로 밝혀져 해당 카테고리를 XNUMX 번째로 높은 위험에 놓았습니다.

또한 Apache Struts를 포함하는 감사 된 코드베이스의 33 %는 Equifax 침해를 초래 한 취약점도 포함했습니다. 이 보고서는 조직이 코드베이스에 점점 더 많은 취약점이 축적되도록 허용하고 있음을 분명히 보여줍니다. 평균적으로 감사에서 확인 된 취약점은 거의 XNUMX 년 전에 공개되었습니다.

OSSRA 보고서를 담당하는 Black Duck 제품 마케팅 관리자 인 Evan Klein은“Equifax가 Apache Struts 취약점을 통해 침해 당했을 때 오픈 소스 보안 관리의 필요성이 첫 페이지 뉴스가되었습니다. "2017 년 XNUMX 월에 공개 되었음에도 불구하고 많은 조직이 여전히 애플리케이션에서 Struts 취약성을 확인하지 않은 것 같습니다."

조사 결과에 따르면 감사 된 코드베이스의 74 %에는 라이선스 충돌이있는 구성 요소도 포함되어 있었으며 그 중 가장 일반적인 것은 GPL 라이선스 위반이었습니다. 업종 내에서 라이선스 충돌이있는 애플리케이션의 비율은 소매 및 전자 상거래 산업의 상대적으로 낮은 61 %부터 통신 및 무선 산업의 최고 수준까지 다양했습니다. 스캔 된 코드의 100 %는 일종의 오픈 소스 라이선스 충돌이있었습니다.

OSSRA 보고서를 다운로드하려면 https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

Synopsys 소프트웨어 무결성 플랫폼 정보
Synopsys Software Integrity Group은 조직이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작의 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안과 품질을 극대화 할 수 있도록 지원합니다. 자세한 내용은 www.synopsys.com/software.

Synopsys 정보
Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #