опубликовано

Результаты показывают, что треть проверенных кодовых баз, содержащих Apache Struts, также имела уязвимость, которая привела к нарушению Equifax.

Сингапур, @mcgallen #microwireinfo, 15 мая 2018 г. - Synopsys, Inc. (Nasdaq: SNPS) сегодня выпустила отчет Black Duck от Synopsys 2018 Open Source Security and Risk Analysis (OSSRA), в котором анализируются результаты анонимных данных более 1,100 коммерческих кодовых баз, проверенных в 2017 г. Отрасли, представленные в отчете, включают автомобильную промышленность, большие данные, кибербезопасность, корпоративное программное обеспечение, финансовые услуги, здравоохранение, Интернет вещей (IoT), производство и рынки мобильных приложений.

В отчете подчеркивается значительный рост использования открытого исходного кода: 96 процентов просканированных приложений содержат компоненты с открытым исходным кодом. Данные также показывают, что среднее количество компонентов с открытым исходным кодом, обнаруженных на базу кода (257), выросло на 75 процентов по сравнению с предыдущим годом, при этом многие приложения содержат больше открытого кода, чем закрытого кода. Вызывает беспокойство то, что 78 процентов исследованных баз кода содержат по крайней мере одну уязвимость с открытым исходным кодом, в среднем 64 уязвимости на базу кода. Более 54 процентов уязвимостей, обнаруженных в проверенных кодовых базах, считаются уязвимостями высокого риска. Семнадцать процентов кодовых баз содержали широко разрекламированные уязвимости, такие как Heartbleed, Logjam, Freak, Drown или Poodle.

«Поскольку современное программное обеспечение и инфраструктура в значительной степени зависят от технологий с открытым исходным кодом, четкое представление об используемых компонентах является ключевой частью корпоративного управления», - сказал Тим Макки, технический евангелист Black Duck от Synopsys. «Отчет ясно демонстрирует, что с ростом использования открытого исходного кода организациям необходимо обеспечить наличие у них инструментов для обнаружения уязвимостей в компонентах с открытым исходным кодом и управления любыми условиями лицензионного соглашения, которые могут потребоваться для их использования».

Уязвимые компоненты с открытым исходным кодом были обнаружены в приложениях во всех отраслях. Вертикаль Интернета и инфраструктуры программного обеспечения имеет самую высокую долю - 67 процентов - приложений, содержащих высокорисковые уязвимости с открытым исходным кодом. По иронии судьбы, в 41% приложений в индустрии кибербезопасности обнаружены уязвимости с открытым исходным кодом высокого риска, что ставит эту вертикаль на четвертое место по уровню риска.

Кроме того, 33 процента проверенных кодовых баз, содержащих Apache Struts, также содержали уязвимость, которая привела к взлому Equifax. Отчет ясно показывает, что организации допускают накопление растущего числа уязвимостей в своих базах кода. В среднем уязвимости, выявленные в ходе аудита, были обнаружены почти шесть лет назад.

«Когда Equifax был взломан через уязвимость Apache Struts, необходимость в управлении безопасностью с открытым исходным кодом стала главной новостью», - сказал Эван Кляйн, менеджер по маркетингу продуктов Black Duck, ответственный за отчет OSSRA. «Тем не менее, несмотря на то, что это было раскрыто в марте 2017 года, многие организации, по-видимому, до сих пор не проверили свои приложения на наличие уязвимости Struts».

Согласно результатам, 74 процента проверенных кодовых баз также содержали компоненты с конфликтами лицензий, наиболее распространенными из которых были нарушения лицензий GPL. Процент приложений с конфликтами лицензий в вертикалях варьировался от относительного низкого уровня в отрасли розничной торговли и электронной коммерции (61 процент) до максимума в отрасли телекоммуникаций и беспроводной связи, где 100% отсканированного кода имели некоторую форму конфликта лицензий с открытым исходным кодом.

Чтобы загрузить отчет OSSRA, посетите https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

О платформе обеспечения целостности программного обеспечения Synopsys
Synopsys Software Integrity Group помогает организациям создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям максимально повысить безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###