Poted on

싱가포르, @mcgallen #microwireinfo, 8 년 2019 월 XNUMX 일 – Synopsys, Inc. (Nasdaq : SNPS)는 오늘 2019 년 오픈 소스 보안 및 위험 분석 (OSSRA) 보고서. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 Black Duck 감사 서비스 팀이 수행 한 상업용 애플리케이션 및 라이브러리에 대한 1,200 건 이상의 감사 결과를 조사합니다. 이 보고서는 오픈 소스 사용의 추세와 패턴은 물론 안전하지 않은 오픈 소스 구성 요소와 라이선스 충돌의 확산을 강조합니다.

보고서에서 볼 수 있듯이 지난 몇 년 동안 조직에 위험 관리 문제를 제기 한 오픈 소스 사용의 많은 추세가 오늘날에도 계속되고 있습니다. 그러나 데이터는 또한 많은 조직이 오픈 소스 위험을 관리하는 능력을 개선하면서 변곡점에 도달했음을 시사합니다. 이는 아마도 상용 소프트웨어 구성 분석 솔루션의 인지도와 성숙도 때문일 것입니다.

"오픈 소스는 최신 소프트웨어 개발 및 배포에서 점점 더 중요한 역할을하지만, 그 가치를 실현하기 위해 조직은 보안 및 라이센스 준수 관점에서 위험 상태에 미치는 영향을 이해하고 관리해야합니다."라고 수석 보안 전략가 인 Tim Mackey가 말했습니다. Synopsys 사이버 보안 연구 센터. “2019 OSSRA 보고서는 상용 애플리케이션 내에서 오픈 소스 위험 관리의 상태를 간략하게 보여줍니다. 대부분의 애플리케이션에 오픈 소스 보안 취약성과 라이선스 충돌이 포함되어있어 여전히 심각한 문제가 있음을 보여줍니다. 그러나 오픈 소스 취약성과 라이선스 충돌 수가 전년에 비해 감소함에 따라 이러한 문제를 해결할 수 있다는 점도 강조합니다.”

2019 OSSRA 보고서에서 확인 된 가장 주목할만한 오픈 소스 위험 추세는 다음과 같습니다.

  • 오픈 소스 채택이 크게 증가했습니다. 2018 년 감사 된 코드베이스의 298 %는 오픈 소스 구성 요소를 포함했으며, 257 년 2017 개에 비해 코드베이스 당 평균 XNUMX 개의 오픈 소스 구성 요소가 포함되었습니다.
  • 오픈 소스 라이선스 충돌은 지적 재산을 위험에 빠뜨릴 수 있습니다. 코드베이스의 38 %는 일종의 오픈 소스 라이선스 충돌을 포함했고 XNUMX %는 식별 가능한 라이선스가없는 오픈 소스 구성 요소를 포함했습니다.
  • '포기 된'구성 요소의 사용은 일반적입니다. 코드베이스의 XNUMX %에는 XNUMX 년 이상 구식이거나 지난 XNUMX 년 동안 개발되지 않은 구성 요소가 포함되어 있습니다. 구성 요소가 비활성 상태이고 유지 관리하는 사람이 없으면 잠재적 인 취약점을 해결하는 사람이 없음을 의미합니다.
  • 많은 조직이 오픈 소스 구성 요소를 패치하거나 업데이트하지 못하고 있습니다. 2018 년 Black Duck Audits에서 확인 된 취약성의 평균 연령은 6.6 년으로 2017 년보다 약간 높았습니다. 이는 개선 노력이 크게 개선되지 않았 음을 시사합니다. 2018 년에 스캔 된 코드베이스의 10 %는 16,500 년 이상 된 취약점을 포함했습니다. 2018 년에 XNUMX 개가 넘는 새로운 취약점을 추가하는 National Vulnerability Database를 배경으로 볼 때, 증가 된 공개를 수용하기 위해 명확한 패치 프로세스를 확장해야합니다.
  • 모든 취약성이 동일하게 생성되는 것은 아니지만 많은 조직이 가장 위험한 취약성을 해결하지 못하고 있습니다. 코드베이스의 40 % 이상이 하나 이상의 고위험 오픈 소스 취약성을 포함했습니다.

보고서는 오픈 소스 소프트웨어의 사용 자체가 문제가 아니며 실제로 소프트웨어 혁신에 필수적이라고 지적합니다. 그러나 오픈 소스 구성 요소 사용과 관련된 보안 및 라이센스 위험을 사전에 식별하고 관리하지 못하면 매우 큰 피해를 입을 수 있습니다. 식별 된 위험 요소에도 불구하고 2019 년 OSSRA 데이터는 Equifax 침해 이후 오픈 소스 위험에 대한 인식이 증가하고 상용 소프트웨어 구성 분석 솔루션의 성숙이 발전을 이끌었다 고 제안합니다.

  • 조직은 오픈 소스 보안 취약성을 더 잘 관리하고 있습니다. 2018 년 감사 된 코드베이스의 78 %는 하나 이상의 취약점을 포함하고 있습니다. 여전히 중요하지만 2017 년의 XNUMX %보다 훨씬 낫습니다.
  • 전반적으로 오픈 소스 라이선스 준수도 향상되었습니다. 2018 년 감사 된 코드베이스의 74 %에는 라이선스 충돌이있는 구성 요소가 포함되어 있었지만 2017 년에는 XNUMX %였습니다.

자세한 내용을 보려면 2019 OSSRA 보고서.

Synopsys 소프트웨어 무결성 플랫폼 정보 
Synopsys Software Integrity Group은 조직이 안전한 고품질 소프트웨어를 구축하여 위험을 최소화하는 동시에 속도와 생산성을 극대화하도록 지원합니다. 애플리케이션 보안 분야에서 인정받는 리더 인 Synopsys는 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작의 취약성과 결함을 신속하게 찾고 수정할 수 있도록합니다. 업계 최고의 도구, 서비스 및 전문 지식이 결합 된 Synopsys만이 조직이 DevSecOps 및 소프트웨어 개발 수명주기 전체에서 보안 및 품질을 최적화 할 수 있도록 지원합니다. 자세한 내용은 http://www.synopsys.com/software.

Synopsys 정보
Synopsys, Inc. (Nasdaq : SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 응용 프로그램을 개발하는 혁신적인 회사를위한 Silicon to Software ™ 파트너입니다. 세계에서 15 번째로 큰 소프트웨어 회사 인 Synopsys는 전자 설계 자동화 (EDA) 및 반도체 IP 분야의 글로벌 리더로서 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션 분야에서 리더십을 키우고 있습니다. 고급 반도체를 만드는 SoC (system-on-chip) 설계자이든 최고의 보안과 품질이 필요한 애플리케이션을 작성하는 소프트웨어 개발자이든 Synopsys는 혁신적이고 고품질의 안전한 제품을 제공하는 데 필요한 솔루션을 갖추고 있습니다. 자세한 내용은 www.synopsys.com.

# # #