โพสต์

บทสรุปของบรรณาธิการ: ซอฟต์แวร์โอเพ่นซอร์ส (OSS) ไม่เพียง แต่เกี่ยวกับซอฟต์แวร์ดังกล่าวที่สามารถนำมาใช้งานได้ฟรี แต่ยังรวมถึงงานที่ดีของผู้เขียนโค้ดอาสาสมัครและผู้ตรวจสอบทั่วโลกด้วยการสร้างซอฟต์แวร์และส่วนประกอบโค้ดที่ดีเพื่อให้ทุกคนนำไปใช้ ตามรายงานล่าสุดของ OSSRA (Open Source Security and Risk Analysis) 2021 โดย Synopsys Cybersecurity Research Center (CyRC) หลายอุตสาหกรรมนำ OSS มาใช้อย่างกว้างขวางและลึกซึ้งรวมถึง martech การดูแลสุขภาพบริการทางการเงิน fintech การค้าปลีกและอีคอมเมิร์ซ แล้วอะไรคือความเสี่ยงในการนำ OSS มาใช้? รุ่นของผู้จำหน่ายอยู่ด้านล่าง

การศึกษาของ Synopsys แสดงให้เห็นถึง Uptick ในส่วนประกอบโอเพนซอร์สที่มีช่องโหว่ล้าสมัยและถูกละทิ้งในซอฟต์แวร์เชิงพาณิชย์ 

การวิเคราะห์โค้ดเบสเชิงพาณิชย์มากกว่า 1,500 รายการพบว่าปัญหาด้านความปลอดภัยของโอเพนซอร์สการปฏิบัติตามใบอนุญาตและการบำรุงรักษามีแพร่หลายในทุกภาคอุตสาหกรรม

สิงคโปร์, @mcgallen #microwireข้อมูล 14 เมษายน 2021 - Synopsys, Inc.. (แนสแด็ก: SNPS) วันนี้เปิดตัว 2021 ความปลอดภัยและการวิเคราะห์ความเสี่ยงโอเพ่นซอร์ส (OSSRA) รายงาน. รายงานจัดทำโดย ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys (CyRC) ตรวจสอบผลการตรวจสอบรหัสฐานเชิงพาณิชย์มากกว่า 1,500 รายการดำเนินการโดยทีม Black Duck® Audit Services รายงานนี้เน้นถึงแนวโน้มการใช้งานโอเพนซอร์สภายในแอปพลิเคชันเชิงพาณิชย์และให้ข้อมูลเชิงลึกเพื่อช่วยให้นักพัฒนาเชิงพาณิชย์และโอเพ่นซอร์สเข้าใจระบบนิเวศซอฟต์แวร์ที่เชื่อมต่อระหว่างกันที่พวกเขาเป็นส่วนหนึ่งได้ดีขึ้น นอกจากนี้ยังให้รายละเอียดเกี่ยวกับความเสี่ยงที่แพร่หลายซึ่งเกิดจากโอเพ่นซอร์สที่ไม่มีการจัดการรวมถึงช่องโหว่ด้านความปลอดภัยส่วนประกอบที่ล้าสมัยหรือถูกละทิ้งและปัญหาการปฏิบัติตามใบอนุญาต

รายงาน OSSRA ปี 2021 ยืนยันว่าซอฟต์แวร์โอเพนซอร์สเป็นรากฐานสำหรับแอปพลิเคชันส่วนใหญ่ในทุกอุตสาหกรรม นอกจากนี้ยังแสดงให้เห็นว่าอุตสาหกรรมเหล่านั้นในระดับที่แตกต่างกันกำลังดิ้นรนเพื่อจัดการความเสี่ยงของโอเพ่นซอร์ส

  • 100% ของ บริษัท ที่ได้รับการตรวจสอบในภาคอุตสาหกรรมเทคโนโลยีการตลาดซึ่งรวมถึง CRM การสร้างโอกาสในการขายและโซเชียลมีเดียมีโอเพ่นซอร์สอยู่ในโค้ดเบสของพวกเขา 95% ของโค้ดเทคโนโลยีการตลาดมีช่องโหว่ของโอเพ่นซอร์ส
  • 98% ของโค้ดเบสของภาคการดูแลสุขภาพมีโอเพ่นซอร์ส 67% ของโค้ดเบสเหล่านั้นมีช่องโหว่
  • 97% ของบริการทางการเงิน / ฐานรหัสภาค fintech มีโอเพ่นซอร์ส กว่า 60% ของโค้ดเบสเหล่านั้นมีช่องโหว่
  • 92% ของโค้ดเบสในภาคค้าปลีกและอีคอมเมิร์ซมีโอเพ่นซอร์สและ 71% ของโค้ดเบสในภาคส่วนนั้นมีช่องโหว่

สิ่งที่น่ากังวลยิ่งกว่าคือการใช้ส่วนประกอบโอเพนซอร์สที่ถูกละทิ้งอย่างกว้างขวาง 91% ของโค้ดเบสที่น่าตกใจมีการอ้างอิงแบบโอเพนซอร์สที่ไม่มีกิจกรรมการพัฒนาในช่วงสองปีที่ผ่านมาซึ่งหมายความว่าไม่มีการปรับปรุงโค้ดและไม่มีการแก้ไขด้านความปลอดภัย

“ การที่โค้ดเบสมากกว่า 90% ใช้โอเพนซอร์สโดยไม่มีกิจกรรมการพัฒนาในช่วงสองปีที่ผ่านมานั้นไม่น่าแปลกใจ” Tim Mackey ผู้เชี่ยวชาญด้านกลยุทธ์ด้านความปลอดภัยของ Synopsys Cybersecurity Research Center กล่าว “ แตกต่างจากซอฟต์แวร์เชิงพาณิชย์ที่ผู้ขายสามารถส่งข้อมูลไปยังผู้ใช้ได้โอเพ่นซอร์สอาศัยการมีส่วนร่วมของชุมชนในการเติบโต เมื่อส่วนประกอบโอเพนซอร์สถูกนำไปใช้ในการเสนอขายเชิงพาณิชย์โดยไม่มีการมีส่วนร่วมนั้นความมีชีวิตชีวาของโครงการอาจลดลงได้ โครงการที่ถูกทอดทิ้งไม่ใช่ปัญหาใหม่ แต่เมื่อเกิดขึ้นการแก้ไขปัญหาด้านความปลอดภัยจะยากขึ้นมาก วิธีแก้ปัญหาเป็นวิธีง่ายๆ - ลงทุนเพื่อสนับสนุนโครงการเหล่านั้นที่คุณพึ่งพาเพื่อความสำเร็จของคุณ”

แนวโน้มความเสี่ยงโอเพ่นซอร์สอื่น ๆ ที่ระบุในรายงาน OSSRA ปี 2021 ได้แก่ :

  • ส่วนประกอบโอเพนซอร์สที่ล้าสมัยในซอฟต์แวร์เชิงพาณิชย์ถือเป็นบรรทัดฐาน 85% ของโค้ดเบสมีการอ้างอิงแบบโอเพนซอร์สที่ล้าสมัยมากกว่าสี่ปี ซึ่งแตกต่างจากโครงการที่ถูกละทิ้งคอมโพเนนต์โอเพนซอร์สที่ล้าสมัยเหล่านี้มีชุมชนนักพัฒนาที่ใช้งานอยู่ซึ่งเผยแพร่การอัปเดตและแพตช์ความปลอดภัยที่ผู้บริโภคเชิงพาณิชย์ขั้นปลายไม่นำไปใช้ นอกเหนือจากผลกระทบด้านความปลอดภัยที่เห็นได้ชัดจากการละเลยที่จะใช้แพตช์แล้วการใช้ส่วนประกอบโอเพนซอร์สที่ล้าสมัยอาจทำให้เกิดหนี้ทางเทคนิคที่ไม่สะดวกในรูปแบบของฟังก์ชันการทำงานและปัญหาความเข้ากันได้ที่เกี่ยวข้องกับการอัปเดตในอนาคต
  • ความแพร่หลายของช่องโหว่ของโอเพนซอร์สกำลังมีแนวโน้มไปในทิศทางที่ไม่ถูกต้อง ในปี 2020 เปอร์เซ็นต์ของโค้ดเบสที่มีส่วนประกอบโอเพนซอร์สที่มีช่องโหว่เพิ่มขึ้นเป็น 84% ซึ่งเพิ่มขึ้น 9% จากปี 2019 ในทำนองเดียวกันเปอร์เซ็นต์ของโค้ดเบสที่มีช่องโหว่ที่มีความเสี่ยงสูงเพิ่มขึ้นจาก 49% เป็น 60% ช่องโหว่ของโอเพ่นซอร์ส 10 อันดับแรกที่พบในโค้ดเบสในปี 2019 ปรากฏขึ้นอีกครั้งในการตรวจสอบปี 2020 ซึ่งทั้งหมดนี้มีการเพิ่มขึ้นอย่างมีนัยสำคัญ
  • โค้ดเบสที่ตรวจสอบแล้วกว่า 90% มีส่วนประกอบโอเพนซอร์สที่มีข้อขัดแย้งของใบอนุญาตสิทธิ์การใช้งานที่กำหนดเองหรือไม่มีใบอนุญาตเลย 65% ของฐานรหัสที่ตรวจสอบในปี 2020 มีข้อขัดแย้งของใบอนุญาตซอฟต์แวร์โอเพนซอร์สโดยทั่วไปเกี่ยวข้องกับสัญญาอนุญาตสาธารณะทั่วไปของ GNU 26% ของโค้ดเบสใช้โอเพนซอร์สโดยไม่มีใบอนุญาตหรือใบอนุญาตที่กำหนดเอง ปัญหาทั้งสามมักจะต้องได้รับการประเมินสำหรับการละเมิดทรัพย์สินทางปัญญาที่อาจเกิดขึ้นและข้อกังวลทางกฎหมายอื่น ๆ โดยเฉพาะอย่างยิ่งในบริบทของธุรกรรมการควบรวมกิจการและการได้มา

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับซอฟต์แวร์โอเพนซอร์สและวิธีแก้ไขปัญหาดังกล่าวให้ดาวน์โหลดสำเนาของไฟล์ รายงาน OSSRA 2021, อ่าน โพสต์บล็อกหรือลงทะเบียนในวันที่ 21 เมษายน webinar.

เกี่ยวกับ Synopsys Software Integrity Group

Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ synopsys.com/software.

เกี่ยวกับ Synopsys

Synopsys, Inc. (Nasdaq: SNPS) เป็นพันธมิตรของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท ซอฟต์แวร์รายใหญ่อันดับ 15 ของโลก Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติอิเล็กทรอนิกส์ (EDA) และเซมิคอนดักเตอร์ IP และยังเติบโตเป็นผู้นำด้านความปลอดภัยของซอฟต์แวร์และโซลูชันคุณภาพ ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์เขียนแอปพลิเคชันที่ต้องการความปลอดภัยและคุณภาพสูงสุด Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่มีความปลอดภัยและเป็นนวัตกรรมใหม่ ๆ เรียนรู้เพิ่มเติมที่ synopsys.com.

# # #