опубликовано

Сингапур, @mcgallen #microwireinfo, 8 мая 2019 - SynopsysInc. (Nasdaq: SNPS) сегодня выпустил Отчет по безопасности и анализу рисков с открытым исходным кодом (OSSRA) за 2019 год. Отчет, подготовленный Synopsys Исследовательский центр кибербезопасности (CyRC) проверяет результаты более 1,200 аудитов коммерческих приложений и библиотек, проведенных командой Black Duck Audit Services. В отчете освещаются тенденции и закономерности использования открытого исходного кода, а также распространенность как небезопасных компонентов с открытым исходным кодом, так и конфликтов лицензий.

Как показано в отчете, многие из тенденций в использовании открытого исходного кода, которые представляли проблемы управления рисками для организаций в предыдущие годы, сохраняются и сегодня. Однако данные также предполагают, что наступил переломный момент, когда многие организации улучшили свои способности управлять рисками, связанными с открытым исходным кодом, возможно, из-за повышения осведомленности и развития коммерческих решений для анализа состава программного обеспечения.

«Открытый исходный код играет все более важную роль в современной разработке и развертывании программного обеспечения, но, чтобы осознать его ценность, организациям необходимо понимать и управлять тем, как он влияет на их состояние риска с точки зрения безопасности и соответствия лицензии», — сказал Тим Макки, главный стратег безопасности в Synopsys Центр исследований кибербезопасности. «Отчет OSSRA за 2019 год дает представление о состоянии управления рисками с открытым исходным кодом в коммерческих приложениях. Это показывает, что по-прежнему существуют серьезные проблемы, поскольку большинство приложений содержат уязвимости в системе безопасности с открытым исходным кодом и конфликты лицензий. Но это также подчеркивает, что эти проблемы можно решить, поскольку количество уязвимостей с открытым исходным кодом и конфликтов лицензий уменьшилось по сравнению с предыдущим годом».

Некоторые из наиболее примечательных тенденций риска открытого исходного кода, выявленные в отчете OSSRA за 2019 год, включают:

  • Наблюдается значительный всплеск внедрения открытого исходного кода. Девяносто шесть процентов кодовых баз, проверенных в 2018 году, содержали компоненты с открытым исходным кодом, в среднем 298 компонентов с открытым исходным кодом на кодовую базу по сравнению с 257 в 2017 году.
  • Конфликты лицензий с открытым исходным кодом могут поставить под угрозу интеллектуальную собственность. Шестьдесят восемь процентов кодовых баз содержали некоторую форму конфликта лицензий с открытым исходным кодом, а 38% содержали компоненты с открытым исходным кодом без идентифицируемой лицензии.
  • Часто используются «брошенные» компоненты. Восемьдесят пять процентов кодовых баз содержат компоненты, которые устарели более чем на четыре года или не разрабатывались в течение последних двух лет. Если компонент неактивен и его никто не обслуживает, это означает, что никто не устраняет его потенциальные уязвимости.
  • Многие организации не могут исправить или обновить свои компоненты с открытым исходным кодом. Средний возраст уязвимостей, выявленных в ходе аудита Black Duck Audits 2018 года, составил 6.6 года, что немного выше, чем в 2017 году, что говорит о том, что меры по исправлению не улучшились значительно. Сорок три процента кодовых баз, просканированных в 2018 году, содержали уязвимости старше 10 лет. Если рассматривать на фоне Национальной базы данных уязвимостей, добавившей более 16,500 2018 новых уязвимостей в XNUMX году, ее четкие процессы исправления должны масштабироваться, чтобы соответствовать растущему раскрытию информации.
  • Не все уязвимости одинаковы, но многие организации даже не борются с самыми опасными. Более 40% кодовых баз содержали по крайней мере одну уязвимость с открытым исходным кодом высокого риска.

В отчете отмечается, что использование программного обеспечения с открытым исходным кодом не является проблемой само по себе и, по сути, имеет важное значение для инноваций в области программного обеспечения. Но отсутствие упреждающего выявления и управления любыми рисками безопасности и лицензирования, связанными с использованием компонентов с открытым исходным кодом, может нанести большой ущерб. Несмотря на выявленные факторы риска, данные OSSRA за 2019 год показывают, что после взлома Equifax повышение осведомленности о рисках открытого исходного кода и созревание коммерческих решений для анализа состава программного обеспечения привели к дальнейшему прогрессу:

  • Организации улучшают управление уязвимостями системы безопасности с открытым исходным кодом. Шестьдесят процентов кодовых баз, проверенных в 2018 году, содержали по крайней мере одну уязвимость - все еще значительную, но намного лучше, чем показатель в 78% за 2017 год.
  • В целом, соблюдение лицензий с открытым кодом также улучшилось. Шестьдесят восемь процентов проверенных кодовых баз в 2018 году содержали компоненты с конфликтами лицензий по сравнению с 74% в 2017 году.

Чтобы узнать больше, загрузите копию Отчет OSSRA за 2019 год.

О Synopsys Платформа целостности программного обеспечения 
Synopsys Software Integrity Group помогает организациям создавать безопасное и высококачественное программное обеспечение, сводя к минимуму риски и максимально повышая скорость и производительность. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и устранять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию ведущих в отрасли инструментов, услуг и опыта, только Synopsys помогает организациям оптимизировать безопасность и качество в DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на http://www.synopsys.com/software.

О нас Synopsys
Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Являясь 15-й по величине компанией-разработчиком программного обеспечения в мире, Synopsys уже давно является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой интеллектуальной собственности, а также укрепляет свое лидерство в области решений для обеспечения безопасности и обеспечения качества программного обеспечения. Являетесь ли вы разработчиком систем на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим приложения, требующие высочайшей безопасности и качества, Synopsys предлагает решения, необходимые для создания инновационных, высококачественных и безопасных продуктов. Узнайте больше на www.synopsys.com.

###