Poted on

싱가포르, @mcgallen #microwireinfo, 8 년 2019 월 XNUMX 일 – Synopsys, Inc의. (Nasdaq : SNPS)는 오늘 2019 년 오픈 소스 보안 및 위험 분석 (OSSRA) 보고서. 보고서는 Synopsys 사이버 보안 연구소 (CyRC)는 Black Duck 감사 서비스 팀이 수행 한 상업용 애플리케이션 및 라이브러리에 대한 1,200 건 이상의 감사 결과를 조사합니다. 이 보고서는 오픈 소스 사용의 추세와 패턴은 물론 안전하지 않은 오픈 소스 구성 요소와 라이선스 충돌의 확산을 강조합니다.

보고서에서 볼 수 있듯이 지난 몇 년 동안 조직에 위험 관리 문제를 제기 한 오픈 소스 사용의 많은 추세가 오늘날에도 계속되고 있습니다. 그러나 데이터는 또한 많은 조직이 오픈 소스 위험을 관리하는 능력을 개선하면서 변곡점에 도달했음을 시사합니다. 이는 아마도 상용 소프트웨어 구성 분석 솔루션의 인지도와 성숙도 때문일 것입니다.

팀 맥키(Tim Mackey) 수석 보안 전략가는 “오픈 소스는 현대 소프트웨어 개발 및 배포에서 점점 더 중요한 역할을 하고 있지만 그 가치를 실현하려면 조직이 보안 및 라이선스 규정 준수 관점에서 위험 상태에 미치는 영향을 이해하고 관리해야 합니다. 그만큼 Synopsys 사이버 보안 연구 센터. “2019 OSSRA 보고서는 상용 애플리케이션 내의 오픈 소스 위험 관리 상태를 엿볼 수 있습니다. 대부분의 애플리케이션이 오픈 소스 보안 취약성과 라이선스 충돌을 포함하고 있어 여전히 심각한 문제가 있음을 보여줍니다. 그러나 오픈 소스 취약성과 라이선스 충돌의 수가 전년 대비 감소했기 때문에 이러한 문제를 해결할 수 있다는 점도 강조합니다.”

2019 OSSRA 보고서에서 확인 된 가장 주목할만한 오픈 소스 위험 추세는 다음과 같습니다.

  • 오픈 소스 채택이 크게 증가했습니다. 2018 년 감사 된 코드베이스의 298 %는 오픈 소스 구성 요소를 포함했으며, 257 년 2017 개에 비해 코드베이스 당 평균 XNUMX 개의 오픈 소스 구성 요소가 포함되었습니다.
  • 오픈 소스 라이선스 충돌은 지적 재산을 위험에 빠뜨릴 수 있습니다. 코드베이스의 38 %는 일종의 오픈 소스 라이선스 충돌을 포함했고 XNUMX %는 식별 가능한 라이선스가없는 오픈 소스 구성 요소를 포함했습니다.
  • '포기 된'구성 요소의 사용은 일반적입니다. 코드베이스의 XNUMX %에는 XNUMX 년 이상 구식이거나 지난 XNUMX 년 동안 개발되지 않은 구성 요소가 포함되어 있습니다. 구성 요소가 비활성 상태이고 유지 관리하는 사람이 없으면 잠재적 인 취약점을 해결하는 사람이 없음을 의미합니다.
  • 많은 조직이 오픈 소스 구성 요소를 패치하거나 업데이트하지 못하고 있습니다. 2018 년 Black Duck Audits에서 확인 된 취약성의 평균 연령은 6.6 년으로 2017 년보다 약간 높았습니다. 이는 개선 노력이 크게 개선되지 않았 음을 시사합니다. 2018 년에 스캔 된 코드베이스의 10 %는 16,500 년 이상 된 취약점을 포함했습니다. 2018 년에 XNUMX 개가 넘는 새로운 취약점을 추가하는 National Vulnerability Database를 배경으로 볼 때, 증가 된 공개를 수용하기 위해 명확한 패치 프로세스를 확장해야합니다.
  • 모든 취약성이 동일하게 생성되는 것은 아니지만 많은 조직이 가장 위험한 취약성을 해결하지 못하고 있습니다. 코드베이스의 40 % 이상이 하나 이상의 고위험 오픈 소스 취약성을 포함했습니다.

보고서는 오픈 소스 소프트웨어의 사용 자체가 문제가 아니며 실제로 소프트웨어 혁신에 필수적이라고 지적합니다. 그러나 오픈 소스 구성 요소 사용과 관련된 보안 및 라이센스 위험을 사전에 식별하고 관리하지 못하면 매우 큰 피해를 입을 수 있습니다. 식별 된 위험 요소에도 불구하고 2019 년 OSSRA 데이터는 Equifax 침해 이후 오픈 소스 위험에 대한 인식이 증가하고 상용 소프트웨어 구성 분석 솔루션의 성숙이 발전을 이끌었다 고 제안합니다.

  • 조직은 오픈 소스 보안 취약성을 더 잘 관리하고 있습니다. 2018 년 감사 된 코드베이스의 78 %는 하나 이상의 취약점을 포함하고 있습니다. 여전히 중요하지만 2017 년의 XNUMX %보다 훨씬 낫습니다.
  • 전반적으로 오픈 소스 라이선스 준수도 향상되었습니다. 2018 년 감사 된 코드베이스의 74 %에는 라이선스 충돌이있는 구성 요소가 포함되어 있었지만 2017 년에는 XNUMX %였습니다.

자세한 내용을 보려면 2019 OSSRA 보고서.

정보 Synopsys 소프트웨어 무결성 플랫폼 
Synopsys Software Integrity Group은 조직이 속도와 생산성을 최대화하면서 위험을 최소화하는 안전한 고품질 소프트웨어를 구축할 수 있도록 지원합니다. Synopsys애플리케이션 보안 분야에서 인정받는 리더인 은(는) 정적 분석, 소프트웨어 구성 분석 및 동적 분석 솔루션을 제공하여 팀이 독점 코드, 오픈 소스 구성 요소 및 애플리케이션 동작에서 취약점과 결함을 신속하게 찾고 수정할 수 있도록 합니다. 업계 최고의 도구, 서비스 및 전문 지식의 조합을 통해 오직 Synopsys 조직이 DevSecOps 및 소프트웨어 개발 수명 주기 전반에 걸쳐 보안 및 품질을 최적화할 수 있도록 지원합니다. 자세히 알아보기 http://www.synopsys.com/software.

소개 Synopsys
Synopsys, Inc.(Nasdaq: SNPS)는 우리가 매일 사용하는 전자 제품 및 소프트웨어 애플리케이션을 개발하는 혁신적인 기업을 위한 Silicon to Software™ 파트너입니다. 세계 15위의 소프트웨어 기업으로서, Synopsys 전자 설계 자동화(EDA) 및 반도체 IP 분야의 글로벌 리더로서의 오랜 역사를 가지고 있으며 소프트웨어 보안 및 품질 솔루션에서도 리더십을 성장시키고 있습니다. 고급 반도체를 만드는 SoC(System-on-Chip) 설계자이든, 최고의 보안과 품질이 필요한 응용 프로그램을 작성하는 소프트웨어 개발자이든, Synopsys 혁신적인 고품질 보안 제품을 제공하는 데 필요한 솔루션을 보유하고 있습니다. 자세히 알아보기 WWW.synopsys.COM.

# # #