опубликовано

Сингапур, @mcgallen #microwireinfo, 8 мая 2019 - Synopsys, Inc. (Nasdaq: SNPS) сегодня выпустил Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2019 год. Отчет, подготовленный Центр исследований кибербезопасности Synopsys (CyRC) проверяет результаты более 1,200 аудитов коммерческих приложений и библиотек, проведенных командой Black Duck Audit Services. В отчете освещаются тенденции и закономерности использования открытого исходного кода, а также распространенность как небезопасных компонентов с открытым исходным кодом, так и конфликтов лицензий.

Как показано в отчете, многие из тенденций в использовании открытого исходного кода, которые представляли проблемы управления рисками для организаций в предыдущие годы, сохраняются и сегодня. Однако данные также предполагают, что наступил переломный момент, когда многие организации улучшили свои способности управлять рисками, связанными с открытым исходным кодом, возможно, из-за повышения осведомленности и развития коммерческих решений для анализа состава программного обеспечения.

«Открытый исходный код играет все более важную роль в разработке и развертывании современного программного обеспечения, но для осознания его ценности организациям необходимо понимать и управлять тем, как это влияет на их уровень риска с точки зрения безопасности и соблюдения лицензионных требований», - сказал Тим Макки, главный стратег по безопасности Исследовательский центр кибербезопасности Synopsys. «Отчет OSSRA за 2019 год дает представление о состоянии управления рисками с открытым исходным кодом в коммерческих приложениях. Это показывает, что по-прежнему существуют серьезные проблемы, поскольку большинство приложений содержат уязвимости безопасности с открытым исходным кодом и конфликты лицензий. Но в нем также подчеркивается, что эти проблемы можно решить, поскольку количество уязвимостей с открытым исходным кодом и конфликтов лицензий снизилось по сравнению с предыдущим годом ».

Некоторые из наиболее примечательных тенденций риска открытого исходного кода, выявленные в отчете OSSRA за 2019 год, включают:

  • Наблюдается значительный всплеск внедрения открытого исходного кода. Девяносто шесть процентов кодовых баз, проверенных в 2018 году, содержали компоненты с открытым исходным кодом, в среднем 298 компонентов с открытым исходным кодом на кодовую базу по сравнению с 257 в 2017 году.
  • Конфликты лицензий с открытым исходным кодом могут поставить под угрозу интеллектуальную собственность. Шестьдесят восемь процентов кодовых баз содержали некоторую форму конфликта лицензий с открытым исходным кодом, а 38% содержали компоненты с открытым исходным кодом без идентифицируемой лицензии.
  • Часто используются «брошенные» компоненты. Восемьдесят пять процентов кодовых баз содержат компоненты, которые устарели более чем на четыре года или не разрабатывались в течение последних двух лет. Если компонент неактивен и его никто не обслуживает, это означает, что никто не устраняет его потенциальные уязвимости.
  • Многие организации не могут исправить или обновить свои компоненты с открытым исходным кодом. Средний возраст уязвимостей, выявленных в ходе аудита Black Duck Audits 2018 года, составил 6.6 года, что немного выше, чем в 2017 году, что говорит о том, что меры по исправлению не улучшились значительно. Сорок три процента кодовых баз, просканированных в 2018 году, содержали уязвимости старше 10 лет. Если рассматривать на фоне Национальной базы данных уязвимостей, добавившей более 16,500 2018 новых уязвимостей в XNUMX году, ее четкие процессы исправления должны масштабироваться, чтобы соответствовать растущему раскрытию информации.
  • Не все уязвимости одинаковы, но многие организации даже не борются с самыми опасными. Более 40% кодовых баз содержали по крайней мере одну уязвимость с открытым исходным кодом высокого риска.

В отчете отмечается, что использование программного обеспечения с открытым исходным кодом не является проблемой само по себе и, по сути, имеет важное значение для инноваций в области программного обеспечения. Но отсутствие упреждающего выявления и управления любыми рисками безопасности и лицензирования, связанными с использованием компонентов с открытым исходным кодом, может нанести большой ущерб. Несмотря на выявленные факторы риска, данные OSSRA за 2019 год показывают, что после взлома Equifax повышение осведомленности о рисках открытого исходного кода и созревание коммерческих решений для анализа состава программного обеспечения привели к дальнейшему прогрессу:

  • Организации улучшают управление уязвимостями системы безопасности с открытым исходным кодом. Шестьдесят процентов кодовых баз, проверенных в 2018 году, содержали по крайней мере одну уязвимость - все еще значительную, но намного лучше, чем показатель в 78% за 2017 год.
  • В целом, соблюдение лицензий с открытым кодом также улучшилось. Шестьдесят восемь процентов проверенных кодовых баз в 2018 году содержали компоненты с конфликтами лицензий по сравнению с 74% в 2017 году.

Чтобы узнать больше, загрузите копию Отчет OSSRA за 2019 год.

О платформе обеспечения целостности программного обеспечения Synopsys 
Synopsys Software Integrity Group помогает организациям создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на http://www.synopsys.com/software.

О компании Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Будучи 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys на протяжении долгого времени является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также укрепляет свое лидерство в области безопасности программного обеспечения и качественных решений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, создающим приложения, требующие высочайшего уровня безопасности и качества, у Synopsys есть решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###