опубликовано

Краткое содержание редактора: несмотря на то, что глобальный кризис заставил правительства и предприятия более серьезно взглянуть на сдерживание затрат, а также на устранение последствий пандемии, внедрение программного обеспечения с открытым исходным кодом (OSS) стало важным. С принятием OSS как на уровне конечного пользователя, так и на этапах SDLC (жизненного цикла разработки программного обеспечения) необходимость целостности и безопасности кода стала первостепенной. Однако насколько быстро выполняется установка исправлений для компонентов OSS? Релиз производителя представлен ниже.

Исследование Synopsys показывает, что безопасность с открытым исходным кодом важна, но исправление идет слишком медленно

Глобальный опрос 1,500 ИТ-специалистов показал, что 40% респондентов во всем мире нарушили график доставки для устранения уязвимостей с открытым исходным кодом.

СИНГАПУР, @mcgallen #microwireинфо, 9 декабря 2020 г.Synopsys, Inc. (Nasdaq: СНПС) сегодня выпустил отчет, Практики DevSecOps и управление открытым исходным кодом в 2020 году, Произведено Центр исследований кибербезопасности Synopsys (CyRC) в отчете представлены результаты опроса 1,500 ИТ-специалистов, работающих в сфере кибербезопасности, разработки программного обеспечения, разработки программного обеспечения и веб-разработки. В отчете исследуются стратегии, которые организации по всему миру используют для решения проблемы управления уязвимостями с открытым исходным кодом, а также растущая проблема устаревших или заброшенных компонентов с открытым исходным кодом в коммерческом коде.

Открытый исходный код играет критически важную роль в сегодняшней программной экосистеме. Подавляющее большинство современных баз кода содержат компоненты с открытым исходным кодом, при этом открытый исходный код часто составляет 70% или более всего кода. Тем не менее, параллельно с ростом использования открытого исходного кода растет риск безопасности, связанный с неуправляемым открытым исходным кодом. Фактически, согласно Отчет OSSRA за 2020 год, 75% кодовых баз, проверенных Synopsys, содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности. Чтобы справиться с этой ситуацией, респонденты опроса называют выявление известных уязвимостей безопасности критерием номер один при проверке новых компонентов с открытым исходным кодом.

«Ясно, что незащищенные уязвимости являются основным источником боли разработчика и, в конечном итоге, бизнес-риска». - сказал Тим Маки, главный стратег по безопасности Исследовательского центра кибербезопасности Synopsys. «В отчете« DevSecOps Practices and Open Source Management in 2020 »подчеркивается, как организации пытаются эффективно отслеживать и управлять своими рисками, связанными с открытым исходным кодом».

«Более половины - 51% - говорят, что им требуется от двух до трех недель, чтобы применить патч с открытым исходным кодом, - продолжил Макки. «Это, вероятно, связано с тем фактом, что только 38% используют инструмент автоматического анализа состава программного обеспечения (SCA), чтобы определить, какие компоненты с открытым исходным кодом используются и когда выпускаются обновления. Остальные организации, вероятно, используют ручные процессы для управления открытым исходным кодом - процессы, которые могут замедлить работу групп разработки и эксплуатации, вынуждая их наверстывать упущенное в области безопасности в условиях, когда в среднем ежедневно публикуются десятки новых сведений о безопасности ».

Среди других примечательных результатов отчета «DevSecOps Practices and Open Source Management in 2020»:

  • DevSecOps стремительно растет во всем мире. В целом 63% респондентов сообщили, что они включают некоторые меры DevSecOps в свои конвейеры разработки программного обеспечения.
  • Не существует общепринятого инструмента тестирования безопасности приложений (AST). Как показывают ответы на вопросы анкеты, недостатка в инструментах и ​​методах тестирования безопасности приложений нет. Однако даже инструмент AST с самым высоким уровнем внедрения все еще используется менее чем половиной респондентов.
  • СМИ играют важную роль в управлении рисками с открытым исходным кодом. XNUMX% респондентов отметили, что освещение в СМИ побудило их организацию применять более строгие меры контроля над использованием открытого исходного кода.
  • XNUMX% респондентов определяют стандарты в соответствии с возрастом используемых ими компонентов с открытым исходным кодом.. Растущая проблема в сообществе открытого исходного кода - устойчивость проекта. А 2020 Исследование Synopsys показали, что 91% кодовых баз, проверенных в 2019 году, содержали компоненты с открытым исходным кодом, которые либо устарели более чем на четыре года, либо в течение последних двух лет не велись разработки. Риски безопасности возрастают при развертывании устаревшего кода, в том числе угроза взлома компонента с открытым исходным кодом. Такая ситуация произошла в 2018 году, когда компонент потока событий был захвачен для таргетинга на биткойны в учетных записях Copay.

Чтобы узнать больше, загрузите копию Практики DevSecOps и управление открытым исходным кодом в 2020 году сообщить.

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###