опубликовано

Краткое содержание редактора: программное обеспечение с открытым исходным кодом (OSS) в готовой форме или в качестве компонентов, составляющих часть программного обеспечения или приложения, становится все более популярным. Модульный код - это путь, и что может быть проще, чем рыться в репозиториях и искать программные фрагменты или модули, которые вы можете просто вставить в свое собственное программное обеспечение? Экономит время и деньги, правда? Однако удобство часто является бичом кибербезопасности. Как выяснила Synopsys, 91% коммерческих приложений содержат устаревшие или даже заброшенные компоненты OSS, которые могут вызвать серьезные риски кибербезопасности и уязвимости, некоторые из которых могут быть даже непоправимыми. Возможно, потребуется написать новый код с нуля, чтобы заменить такое заброшенное ПО, если альтернативы не найдены, за дополнительную плату. Пресс-релиз производителя находится ниже.

Исследование Synopsys показывает, что XNUMX процент коммерческих приложений содержат устаревшие или заброшенные компоненты с открытым исходным кодом 

Анализ более 1,250 коммерческих кодовых баз показывает, что безопасность с открытым исходным кодом, соблюдение лицензионных требований и операционные риски остаются широко распространенными

СИНГАПУР, @mcgallen #microwireinfo, 13 мая 2020 г. Synopsys, Inc, (Nasdaq: СНПС) сегодня выпустил Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2020 год. Отчет, подготовленный Центр исследований кибербезопасности Synopsys (CyRC) изучает результаты более 1,250 аудитов коммерческих кодовых баз, выполненных командой Black Duck Audit Services. В отчете освещаются тенденции и закономерности использования открытого исходного кода в коммерческих приложениях, а также содержатся аналитические данные и рекомендации, которые помогают организациям лучше управлять рисками, связанными с открытым исходным кодом, с точки зрения безопасности, соблюдения лицензионных требований и эксплуатации.

Отчет OSSRA за 2020 год подтверждает важную роль, которую открытый исходный код играет в сегодняшней программной экосистеме, показывая, что фактически все (99%) кодовых баз, проверенных за последний год, содержат как минимум один компонент с открытым исходным кодом, при этом открытый исходный код составляет 70% кода. в общем и целом. Более примечательным является продолжающееся широкое использование устаревших или заброшенных компонентов с открытым исходным кодом, при этом 91% кодовых баз содержат компоненты, которые либо устарели более чем на четыре года, либо в течение последних двух лет не проводились разработки.

Наиболее тревожной тенденцией в анализе этого года является растущий риск безопасности, связанный с неуправляемым открытым исходным кодом, при этом 75% проверенных кодовых баз содержат компоненты с открытым исходным кодом с известными уязвимостями безопасности, по сравнению с 60% в предыдущем году. Точно так же почти половина (49%) кодовых баз содержала высокий риск уязвимостей по сравнению с 40% всего за 12 месяцев до этого.

«Трудно упустить из виду жизненно важную роль, которую открытый исходный код играет в современной разработке и развертывании программного обеспечения, но легко упустить из виду, как это влияет на уровень риска вашего приложения с точки зрения безопасности и соблюдения лицензионных требований», - сказал Тим Макки, главный стратег по безопасности Synopsys. Центр исследований кибербезопасности. «В отчете OSSRA за 2020 год подчеркивается, как организации продолжают бороться за эффективное отслеживание и управление рисками открытого исходного кода. Ведение точного реестра сторонних программных компонентов, в том числе зависимостей с открытым исходным кодом, и поддержание его в актуальном состоянии - это ключевая отправная точка для устранения рисков приложений на нескольких уровнях ».

Ниже приводится краткое изложение наиболее примечательных тенденций рисков открытого кода, выявленных в отчете OSSRA за 2020 год:

  • Внедрение открытого исходного кода продолжает расти. Девяносто девять процентов кодовых баз содержат по крайней мере некоторые открытые исходные коды, в среднем 445 компонентов с открытым исходным кодом на кодовую базу - значительное увеличение с 298 в 2018 году. Семьдесят процентов проверенного кода были идентифицированы как открытый исходный код, и эта цифра увеличилась с 60 % в 2018 г. и почти удвоился с 2015 г. (36%).
  • Устаревшие и «заброшенные» компоненты с открытым исходным кодом широко распространены. Девяносто один процент кодовых баз содержал компоненты, которые либо устарели более чем на четыре года, либо не разрабатывались в течение последних двух лет. Помимо повышенной вероятности наличия уязвимостей в системе безопасности, риск использования устаревших компонентов с открытым исходным кодом заключается в том, что их обновление может также вызвать нежелательные функции или проблемы совместимости.
  • Использование уязвимых компонентов с открытым исходным кодом снова имеет тенденцию к росту. В 2019 году процент кодовых баз, содержащих уязвимые компоненты с открытым исходным кодом, вырос до 75% после падения с 78% до 60% в период с 2017 по 2018 год. Точно так же процент кодовых баз, содержащих уязвимости высокого риска, подскочил до 49% в 2019 году с 40%. в 2018 году. К счастью, ни одна из кодовых баз, проверенных в 2019 году, не была затронута печально известной ошибкой Heartbleed или уязвимостью Apache Struts, преследовавшей Equifax в 2017 году.
  • Конфликты лицензий с открытым исходным кодом продолжают подвергать интеллектуальную собственность риску. Несмотря на репутацию «бесплатного» программного обеспечения с открытым исходным кодом, оно не отличается от любого другого программного обеспечения тем, что его использование регулируется лицензией. Шестьдесят восемь процентов кодовых баз содержали некоторую форму конфликта лицензий с открытым исходным кодом, а 33% содержали компоненты с открытым исходным кодом без идентифицируемой лицензии. Распространенность лицензионных конфликтов значительно варьировалась в зависимости от отрасли: от 93% (Интернет и мобильные приложения) до относительно низких 59% (виртуальная реальность, игры, развлечения, медиа).

Чтобы узнать больше, загрузите копию Отчет OSSRA за 2020 год.

20200513_snps_ossra_2020_infogrp
Отчет Synopsys о безопасности и анализе рисков с открытым исходным кодом (OSSRA) 2020 - снимок

О группе обеспечения целостности программного обеспечения Synopsys
Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###