โพสต์

บทสรุปของบรรณาธิการ: ในขณะที่วิกฤตการณ์ทั่วโลกได้ผลักดันให้รัฐบาลและธุรกิจต่างๆมองเรื่องการควบคุมต้นทุนอย่างจริงจังมากขึ้นในขณะเดียวกันก็จัดการกับการระบาดของโรคระบาดการใช้ซอฟต์แวร์โอเพนซอร์ส (OSS) กลายเป็นสิ่งสำคัญ ด้วยการนำ OSS ไปใช้ทั้งในระดับผู้ใช้ปลายทางและในขั้นตอน SDLC (วงจรการพัฒนาซอฟต์แวร์) ความจำเป็นในการรักษาความสมบูรณ์ของโค้ดและความปลอดภัยจึงกลายเป็นสิ่งสำคัญยิ่ง อย่างไรก็ตามการแพตช์ส่วนประกอบ OSS นั้นเร็วหรือไม่? รุ่นของผู้จำหน่ายอยู่ด้านล่าง

การศึกษาของ Synopsys แสดงให้เห็นถึงความปลอดภัยของโอเพ่นซอร์ส แต่การแก้ไขช้าเกินไป

การสำรวจทั่วโลกของผู้เชี่ยวชาญด้านไอที 1,500 คนพบว่า 40% ของผู้ตอบแบบสอบถามทั่วโลกมีตารางการจัดส่งหยุดชะงักเพื่อแก้ไขช่องโหว่ของโอเพ่นซอร์ส

สิงคโปร์, @mcgallen #microwireข้อมูล 9 ธันวาคม 2020 - Synopsys, Inc. (Nasdaq: SNPS) เปิดตัวรายงานในวันนี้ แนวทางปฏิบัติของ DevSecOps และการจัดการโอเพ่นซอร์สในปี 2020. ผลิตโดย ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys (CyRC) รายงานชี้ให้เห็นถึงการค้นพบจากการสำรวจผู้เชี่ยวชาญด้านไอที 1,500 คนที่ทำงานด้านความปลอดภัยในโลกไซเบอร์การพัฒนาซอฟต์แวร์วิศวกรรมซอฟต์แวร์และการพัฒนาเว็บ รายงานสำรวจกลยุทธ์ที่องค์กรทั่วโลกใช้เพื่อจัดการกับช่องโหว่ของโอเพ่นซอร์สตลอดจนปัญหาที่เพิ่มขึ้นของส่วนประกอบโอเพนซอร์สที่ล้าสมัยหรือถูกละทิ้งในโค้ดเชิงพาณิชย์

โอเพ่นซอร์สมีบทบาทสำคัญในระบบนิเวศซอฟต์แวร์ในปัจจุบัน โค้ดเบสที่ทันสมัยส่วนใหญ่มีส่วนประกอบของโอเพนซอร์สโดยโอเพ่นซอร์สมักประกอบด้วยโค้ดโดยรวม 70% หรือมากกว่านั้น การเพิ่มขึ้นของการใช้โอเพนซอร์สก็เหมือนกับความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นซึ่งเกิดจากโอเพ่นซอร์สที่ไม่มีการจัดการ ในความเป็นจริงตาม รายงาน OSSRA 2020, 75% ของโค้ดเบสที่ตรวจสอบโดย Synopsys มีส่วนประกอบโอเพนซอร์สที่มีช่องโหว่ด้านความปลอดภัยที่ทราบ เพื่อต่อสู้กับสถานการณ์นี้ผู้ตอบแบบสำรวจอ้างการระบุช่องโหว่ด้านความปลอดภัยที่ทราบเป็นเกณฑ์อันดับหนึ่งเมื่อทำการตรวจสอบส่วนประกอบโอเพนซอร์สใหม่

“ เป็นที่ชัดเจนว่าช่องโหว่ที่ไม่ได้รับการแก้ไขเป็นสาเหตุสำคัญของความเจ็บปวดของนักพัฒนาซอฟต์แวร์และในที่สุดก็เป็นความเสี่ยงทางธุรกิจ” Tim Mackey นักยุทธศาสตร์ด้านความปลอดภัยหลักของ Synopsys Cybersecurity Research Center กล่าว “ รายงาน 'แนวทางปฏิบัติของ DevSecOps และการจัดการโอเพ่นซอร์สในปี 2020' จะแสดงให้เห็นว่าองค์กรต่างๆกำลังดิ้นรนเพื่อติดตามและจัดการความเสี่ยงของโอเพ่นซอร์สอย่างมีประสิทธิผล

“ กว่าครึ่ง - 51% - กล่าวว่าพวกเขาใช้เวลาสองถึงสามสัปดาห์ในการใช้แพตช์โอเพนซอร์ส” Mackey กล่าวต่อ “ สิ่งนี้น่าจะเชื่อมโยงกับข้อเท็จจริงที่ว่ามีเพียง 38% เท่านั้นที่ใช้เครื่องมือวิเคราะห์องค์ประกอบซอฟต์แวร์อัตโนมัติ (SCA) เพื่อระบุว่าส่วนประกอบโอเพนซอร์สใดใช้งานอยู่และเมื่อมีการเผยแพร่การอัปเดต องค์กรที่เหลืออาจใช้กระบวนการแบบแมนนวลเพื่อจัดการโอเพนซอร์สซึ่งเป็นกระบวนการที่สามารถชะลอการพัฒนาและทีมปฏิบัติการบังคับให้พวกเขาต้องรับมือกับความปลอดภัยในสภาพอากาศที่โดยเฉลี่ยแล้วจะมีการเผยแพร่การเปิดเผยข้อมูลด้านความปลอดภัยใหม่หลายสิบรายการทุกวัน”

ข้อค้นพบที่น่าสังเกตอื่น ๆ ในรายงาน“ แนวทางปฏิบัติ DevSecOps และการจัดการโอเพ่นซอร์สในปี 2020” ได้แก่ :

  • DevSecOps เติบโตอย่างรวดเร็วทั่วโลก ผู้ตอบแบบสำรวจรวม 63% รายงานว่าพวกเขากำลังรวมมาตรการบางอย่างของกิจกรรม DevSecOps เข้ากับกระบวนการพัฒนาซอฟต์แวร์
  • ไม่มีเครื่องมือทดสอบความปลอดภัยของแอปพลิเคชัน (AST) ที่ใช้กันอย่างแพร่หลาย ตามคำตอบของคำถามแบบสำรวจระบุว่าไม่มีปัญหาการขาดแคลนเครื่องมือและเทคนิคการทดสอบความปลอดภัยของแอปพลิเคชัน อย่างไรก็ตามแม้เครื่องมือ AST ที่มีอัตราการนำไปใช้สูงสุดก็ยังถูกใช้โดยผู้ตอบแบบสอบถามเพียงไม่ถึงครึ่งหนึ่ง
  • สื่อมีบทบาทสำคัญในการบริหารความเสี่ยงโอเพ่นซอร์ส ผู้ตอบแบบสอบถามสี่สิบหกเปอร์เซ็นต์ระบุว่าการรายงานข่าวของสื่อกระตุ้นให้องค์กรของพวกเขาใช้การควบคุมที่เข้มงวดมากขึ้นในการใช้งานโอเพนซอร์ส
  • สี่สิบเจ็ดเปอร์เซ็นต์ของผู้ตอบแบบสอบถามกำหนดมาตรฐานตามอายุของส่วนประกอบโอเพนซอร์สที่พวกเขาใช้. ปัญหาที่เพิ่มขึ้นในชุมชนโอเพ่นซอร์สคือความยั่งยืนของโครงการ ปี 2020 การศึกษาของ Synopsys แสดงให้เห็นว่า 91% ของโค้ดเบสที่ตรวจสอบในปี 2019 มีส่วนประกอบของโอเพนซอร์สที่ล้าสมัยมากกว่าสี่ปีหรือไม่มีกิจกรรมการพัฒนาในช่วงสองปีที่ผ่านมา ความเสี่ยงด้านความปลอดภัยจะเพิ่มขึ้นเมื่อมีการใช้งานโค้ดที่ล้าสมัยรวมถึงการคุกคามของส่วนประกอบโอเพนซอร์สที่ถูกแย่งชิง สถานการณ์ดังกล่าวเกิดขึ้นในปี 2018 เมื่อส่วนประกอบสตรีมเหตุการณ์ถูกแย่งชิงไปเพื่อกำหนดเป้าหมาย Bitcoin ในบัญชี Copay

หากต้องการเรียนรู้เพิ่มเติมให้ดาวน์โหลดสำเนาของไฟล์ แนวทางปฏิบัติของ DevSecOps และการจัดการโอเพ่นซอร์สในปี 2020 แจ้ง

เกี่ยวกับ Synopsys Software Integrity Group

Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys

Synopsys, Inc. (Nasdaq: SNPS) เป็นพันธมิตรของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท ซอฟต์แวร์รายใหญ่อันดับ 15 ของโลก Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติอิเล็กทรอนิกส์ (EDA) และเซมิคอนดักเตอร์ IP และยังเติบโตเป็นผู้นำด้านความปลอดภัยของซอฟต์แวร์และโซลูชันคุณภาพ ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์เขียนแอปพลิเคชันที่ต้องการความปลอดภัยและคุณภาพสูงสุด Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่มีความปลอดภัยและเป็นนวัตกรรมใหม่ ๆ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #