open_store-unsplash

Synopsys'Отчет OSSRA показывает снижение рисков лицензий и уязвимостей с открытым исходным кодом, но предупреждает, что 88% организаций отстают в обновлении открытого исходного кода.

Краткое содержание редактора: Целостность и безопасность программного обеспечения имеют первостепенное значение в наши дни, а цепочка поставок программного обеспечения сегодня занимает центральное место в условиях глобальной нестабильности. Ведущий поставщик в области целостности и безопасности программного обеспечения, Synopsys, выпустила отчет об анализе безопасности и рисков с открытым исходным кодом (OSSRA) за 2022 год. Хотя анализ более 2,400 коммерческих и проприетарных кодовых баз показал снижение рисков лицензирования открытого исходного кода и рисков уязвимости, в отчете содержится предупреждение о том, что 88% организаций по-прежнему отстают в обновлении открытого исходного кода. Отчет показал, что 20% проверенных кодовых баз содержали открытый исходный код без лицензии или с индивидуальной лицензией. Подробнее читайте ниже.

СИНГАПУР  Synopsys, Inc (Nasdaq: SNPS) сегодня опубликовала Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2022 год. Отчет, подготовленный Synopsys Исследовательский центр кибербезопасности (CyRC), исследует результаты более 2,400 аудитов коммерческих и проприетарных кодовых баз по сделкам слияний и поглощений, выполненных командой Black Duck® Audit Services. В отчете освещаются тенденции использования открытого исходного кода в коммерческих и проприетарных приложениях, а также предоставляется информация, которая поможет разработчикам лучше понять экосистему взаимосвязанного программного обеспечения. В нем также подробно описаны распространенные риски, связанные с неуправляемым открытым исходным кодом, включая уязвимости в системе безопасности, устаревшие или заброшенные компоненты и проблемы с соблюдением условий лицензии.

Выводы отчета OSSRA за 2022 год подчеркивают тот факт, что открытый исходный код используется повсеместно, в каждой отрасли и является основой каждого приложения, создаваемого сегодня.

  • Устаревший открытый исходный код остается нормой, включая наличие уязвимых версий Log4j. С точки зрения операционных рисков/сопровождения 85% из 2,097 кодовых баз содержали открытый исходный код, устаревший более чем на четыре года. 88% использовали компоненты не последней доступной версии. 5% содержали уязвимую версию Log4j.
  • Оцененные кодовые базы показывают, что количество уязвимостей в открытом исходном коде в целом уменьшается. 2,097 из проверенных кодовых баз включали оценку безопасности и операционных рисков. Более резко сократилось количество кодовых баз, содержащих уязвимости с открытым исходным кодом с высоким риском. 49% проверенных в этом году кодовых баз содержали как минимум одну уязвимость высокого риска по сравнению с 60% в прошлом году. Кроме того, 81 % проверенных кодовых баз содержали по крайней мере одну известную уязвимость с открытым исходным кодом, что минимально на 3 % меньше результатов OSSRA 2021 года.
  • Конфликты лицензий также уменьшаются в целом. Более половины — 53 % — кодовых баз содержали конфликты лицензий, что значительно меньше по сравнению с 65 %, наблюдавшимися в 2020 году. В целом в период с 2020 по 2021 год количество конкретных конфликтов лицензий уменьшилось по всем направлениям.
  • 20% оцененных кодовых баз содержали открытый исходный код без лицензии или с индивидуальной лицензией. Поскольку лицензия на программное обеспечение регулирует право на его использование, программное обеспечение без лицензии представляет собой дилемму: влечет ли использование компонента с открытым исходным кодом юридический риск. Кроме того, индивидуальные лицензии с открытым исходным кодом могут предъявлять нежелательные требования к лицензиату и часто требуют юридической оценки возможных проблем с ИС или других последствий.

«Пользователи программного обеспечения SCA сосредоточили свое внимание на уменьшении проблем с лицензиями на ПО с открытым исходным кодом и устранении уязвимостей с высоким риском, и эти усилия находят отражение в снижении количества конфликтов лицензий и уязвимостей с высоким риском, которое мы наблюдали в этом году, — сказал Тим Макки, главный специалист по стратегии безопасности. с Synopsys Центр исследований кибербезопасности. «Факт остается фактом: более половины проверенных нами кодовых баз по-прежнему содержали конфликты лицензий и почти половина по-прежнему содержали уязвимости с высоким риском. Еще более тревожным было то, что 88% кодовых баз [с оценками рисков] содержали устаревшие версии компонентов с открытым исходным кодом с доступными обновлениями или исправлениями, которые не применялись».

«Есть веские причины не поддерживать программное обеспечение в актуальном состоянии, — продолжил Макки. «Но если организация не ведет точную и актуальную инвентаризацию открытого исходного кода, используемого в ее коде, устаревший компонент может быть забыт до тех пор, пока он не станет уязвимым для эксплойта с высокой степенью риска, а затем будет пытаться определить, где он находится. используется и для обновления он включен. Именно это произошло с Log4j, и именно поэтому цепочки поставок программного обеспечения и ведомости материалов (SBOM) являются такими горячими темами».

Чтобы узнать больше о потенциальных рисках, связанных с программным обеспечением с открытым исходным кодом, и способах их устранения, скачать копию отчета OSSRA за 2022 г. или прочтите сообщение в блоге.

###