опубликовано

Краткое содержание редактора: Целостность и безопасность программного обеспечения имеют первостепенное значение в наши дни, а цепочка поставок программного обеспечения сегодня занимает центральное место в условиях глобальной нестабильности. Ведущий поставщик в области целостности и безопасности программного обеспечения, Synopsys, выпустила отчет об анализе безопасности и рисков с открытым исходным кодом (OSSRA) за 2022 год. Хотя анализ более чем 2,400 коммерческих и проприетарных кодовых баз показал снижение рисков лицензирования открытого исходного кода и рисков уязвимости, в отчете содержится предупреждение о том, что 88% организаций по-прежнему отстают в обновлении открытого исходного кода. Отчет показал, что 20% проверенных кодовых баз содержали открытый исходный код без лицензии или с индивидуальной лицензией. Релиз производителя ниже.

Synopsys Исследование освещает основные проблемы, связанные с управлением рисками с открытым исходным кодом в цепочках поставок программного обеспечения

Анализ более чем 2,400 коммерческих и проприетарных кодовых баз показывает снижение рисков лицензирования открытого исходного кода и уязвимостей, но 88% организаций по-прежнему отстают в обновлении открытого исходного кода.

СИНГАПУР, @mcgallen #microwireинфо, 13, 2022 апреля Synopsys, Inc (Nasdaq: SNPS) сегодня опубликовала Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2022 год. Отчет, подготовленный Synopsys Исследовательский центр кибербезопасности (CyRC), исследует результаты более 2,400 аудитов коммерческих и проприетарных кодовых баз по сделкам слияний и поглощений, выполненных командой Black Duck® Audit Services. В отчете освещаются тенденции использования открытого исходного кода в коммерческих и проприетарных приложениях, а также предоставляется информация, которая поможет разработчикам лучше понять экосистему взаимосвязанного программного обеспечения. В нем также подробно описаны распространенные риски, связанные с неуправляемым открытым исходным кодом, включая уязвимости в системе безопасности, устаревшие или заброшенные компоненты и проблемы с соблюдением условий лицензии.

Выводы отчета OSSRA за 2022 год подчеркивают тот факт, что открытый исходный код используется повсеместно, в каждой отрасли и является основой каждого приложения, создаваемого сегодня.

  • Устаревший открытый исходный код остается нормой, включая наличие уязвимых версий Log4j. С точки зрения операционных рисков/сопровождения 85% из 2,097 кодовых баз содержали открытый исходный код, устаревший более чем на четыре года. 88% использовали компоненты не последней доступной версии. 5% содержали уязвимую версию Log4j.
  • Оцененные кодовые базы показывают, что количество уязвимостей в открытом исходном коде в целом уменьшается. 2,097 из проверенных кодовых баз включали оценку безопасности и операционных рисков. Более резко сократилось количество кодовых баз, содержащих уязвимости с открытым исходным кодом с высоким риском. 49% проверенных в этом году кодовых баз содержали как минимум одну уязвимость высокого риска по сравнению с 60% в прошлом году. Кроме того, 81 % проверенных кодовых баз содержали по крайней мере одну известную уязвимость с открытым исходным кодом, что минимально на 3 % меньше результатов OSSRA 2021 года.
  • Конфликты лицензий также уменьшаются в целом. Более половины — 53 % — кодовых баз содержали конфликты лицензий, что значительно меньше по сравнению с 65 %, наблюдавшимися в 2020 году. В целом в период с 2020 по 2021 год количество конкретных конфликтов лицензий уменьшилось по всем направлениям.
  • 20% оцененных кодовых баз содержали открытый исходный код без лицензии или с индивидуальной лицензией. Поскольку лицензия на программное обеспечение регулирует право на его использование, программное обеспечение без лицензии представляет собой дилемму: влечет ли использование компонента с открытым исходным кодом юридический риск. Кроме того, индивидуальные лицензии с открытым исходным кодом могут предъявлять нежелательные требования к лицензиату и часто требуют юридической оценки возможных проблем с ИС или других последствий.

«Пользователи программного обеспечения SCA сосредоточили свое внимание на уменьшении проблем с лицензиями на ПО с открытым исходным кодом и устранении уязвимостей с высоким риском, и эти усилия находят отражение в снижении количества конфликтов лицензий и уязвимостей с высоким риском, которое мы наблюдали в этом году, — сказал Тим Макки, главный специалист по стратегии безопасности. с Synopsys Центр исследований кибербезопасности. «Факт остается фактом: более половины проверенных нами кодовых баз по-прежнему содержали конфликты лицензий и почти половина по-прежнему содержали уязвимости с высоким риском. Еще более тревожным было то, что 88% кодовых баз [с оценками рисков] содержали устаревшие версии компонентов с открытым исходным кодом с доступными обновлениями или исправлениями, которые не применялись».

«Есть веские причины не поддерживать программное обеспечение в актуальном состоянии, — продолжил Макки. «Но если организация не ведет точную и актуальную инвентаризацию открытого исходного кода, используемого в ее коде, устаревший компонент может быть забыт до тех пор, пока он не станет уязвимым для эксплойта с высокой степенью риска, а затем будет пытаться определить, где он находится. используется и для обновления он включен. Именно это произошло с Log4j, и именно поэтому цепочки поставок программного обеспечения и ведомости материалов (SBOM) являются такими горячими темами».

Чтобы узнать больше о потенциальных рисках, связанных с программным обеспечением с открытым исходным кодом, и способах их устранения, скачать копию отчета OSSRA за 2022 г., прочтите сообщение в блоге, или зарегистрироваться на вебинар 22 апреля.

О Synopsys Группа обеспечения целостности программного обеспечения

Synopsys Software Integrity Group предлагает интегрированные решения, которые меняют способ создания и доставки программного обеспечения командами разработчиков, ускоряя внедрение инноваций и снижая бизнес-риски. Наш лидирующий в отрасли портфель продуктов и услуг для обеспечения безопасности программного обеспечения является самым полным в мире и взаимодействует со сторонними инструментами и инструментами с открытым исходным кодом, что позволяет организациям использовать существующие инвестиции для создания наиболее подходящей для них программы безопасности. Только Synopsys предлагает все, что вам нужно, чтобы завоевать доверие к вашему программному обеспечению. Узнайте больше на www.synopsys.com/программное обеспечение.

О нас Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Как компания S&P 500, Synopsys уже давно является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой интеллектуальной собственности и предлагает самый широкий в отрасли портфель инструментов и услуг для тестирования безопасности приложений. Являетесь ли вы разработчиком систем на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим более безопасный и высококачественный код, Synopsys имеет решения, необходимые для создания инновационных продуктов. Узнайте больше на www.synopsys.com.

###