больше кода на экране

Synopsys глобальный опрос показывает, что безопасность с открытым исходным кодом занимает первое место, но исправление догоняет

Краткое содержание редактора: В то время как глобальный кризис заставил правительства и бизнес более серьезно относиться к сдерживанию расходов, а также к устранению последствий пандемии, внедрение программного обеспечения с открытым исходным кодом (OSS) стало важным. С внедрением OSS как на уровне конечного пользователя, так и на этапах SDLC (жизненный цикл разработки программного обеспечения) потребность в целостности кода и безопасности стала первостепенной. Однако насколько быстро исправляются компоненты OSS? Подробнее читайте ниже.

СИНГАПУРSynopsys, Inc (Nasdaq: СНПС) сегодня выпустил отчет, Практики DevSecOps и управление открытым исходным кодом в 2020 году, Произведено Synopsys Исследовательский центр кибербезопасности (CyRC) в отчете представлены результаты опроса 1,500 ИТ-специалистов, работающих в сфере кибербезопасности, разработки программного обеспечения, разработки программного обеспечения и веб-разработки. В отчете исследуются стратегии, которые организации по всему миру используют для решения проблемы управления уязвимостями с открытым исходным кодом, а также растущая проблема устаревших или заброшенных компонентов с открытым исходным кодом в коммерческом коде.

Открытый исходный код играет критически важную роль в сегодняшней программной экосистеме. Подавляющее большинство современных баз кода содержат компоненты с открытым исходным кодом, при этом открытый исходный код часто составляет 70% или более всего кода. Тем не менее, параллельно с ростом использования открытого исходного кода растет риск безопасности, связанный с неуправляемым открытым исходным кодом. Фактически, согласно Отчет OSSRA за 2020 год, 75% кодовых баз проверены Synopsys содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности. Чтобы справиться с этой ситуацией, респонденты опроса называют выявление известных уязвимостей системы безопасности критерием номер один при проверке новых компонентов с открытым исходным кодом.

«Очевидно, что незакрытые уязвимости являются основным источником боли для разработчиков и, в конечном итоге, бизнес-рисков». сказал Тим Макки, главный стратег безопасности Synopsys Центр исследований кибербезопасности. «Отчет «Практика DevSecOps и управление открытым исходным кодом в 2020 году» показывает, как организации пытаются эффективно отслеживать и управлять своими рисками с открытым исходным кодом».

«Более половины - 51% - говорят, что им требуется от двух до трех недель, чтобы применить патч с открытым исходным кодом, - продолжил Макки. «Это, вероятно, связано с тем фактом, что только 38% используют инструмент автоматического анализа состава программного обеспечения (SCA), чтобы определить, какие компоненты с открытым исходным кодом используются и когда выпускаются обновления. Остальные организации, вероятно, используют ручные процессы для управления открытым исходным кодом - процессы, которые могут замедлить работу групп разработки и эксплуатации, вынуждая их наверстывать упущенное в области безопасности в условиях, когда в среднем ежедневно публикуются десятки новых сведений о безопасности ».

Среди других примечательных результатов отчета «DevSecOps Practices and Open Source Management in 2020»:

  • DevSecOps стремительно растет во всем мире. В целом 63% респондентов сообщили, что они включают некоторые меры DevSecOps в свои конвейеры разработки программного обеспечения.
  • Не существует общепринятого инструмента тестирования безопасности приложений (AST). Как показывают ответы на вопросы анкеты, недостатка в инструментах и ​​методах тестирования безопасности приложений нет. Однако даже инструмент AST с самым высоким уровнем внедрения все еще используется менее чем половиной респондентов.
  • СМИ играют важную роль в управлении рисками с открытым исходным кодом. XNUMX% респондентов отметили, что освещение в СМИ побудило их организацию применять более строгие меры контроля над использованием открытого исходного кода.
  • XNUMX% респондентов определяют стандарты в соответствии с возрастом используемых ими компонентов с открытым исходным кодом.. Растущая проблема в сообществе открытого исходного кода - устойчивость проекта. А 2020 Synopsys учиться показали, что 91% кодовых баз, проверенных в 2019 году, содержали компоненты с открытым исходным кодом, которые либо устарели более чем на четыре года, либо в течение последних двух лет не велись разработки. Риски безопасности возрастают при развертывании устаревшего кода, в том числе угроза взлома компонента с открытым исходным кодом. Такая ситуация произошла в 2018 году, когда компонент потока событий был захвачен для таргетинга на биткойны в учетных записях Copay.

Чтобы узнать больше, загрузите копию Практики DevSecOps и управление открытым исходным кодом в 2020 году сообщить.

###