โพสต์

บทสรุปของบรรณาธิการ: ซอฟต์แวร์โอเพนซอร์ส (OSS) ไม่ว่าจะอยู่ในรูปแบบสำเร็จรูปหรือเป็นส่วนประกอบที่เป็นส่วนหนึ่งของซอฟต์แวร์หรือแอปกำลังได้รับความนิยมมากขึ้นเรื่อย ๆ โค้ดโมดูลาร์เป็นวิธีที่จะไปและจะมีวิธีใดที่ง่ายกว่าในการกำจัดที่เก็บข้อมูลและค้นหาชิ้นส่วนซอฟต์แวร์หรือโมดูลที่คุณสามารถเสียบเข้ากับซอฟต์แวร์ที่คุณกำหนดเองได้? ประหยัดเวลาและค่าใช้จ่ายใช่ไหม? อย่างไรก็ตามความสะดวกสบายมักเป็นสารพิษของความปลอดภัยทางไซเบอร์ ดังที่ Synopsys พบว่า 91% ของแอพเชิงพาณิชย์มีส่วนประกอบ OSS ที่ล้าสมัยหรือถูกทอดทิ้งซึ่งอาจทำให้เกิดความเสี่ยงและช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่ร้ายแรงซึ่งบางส่วนอาจไม่สามารถแก้ไขได้ อาจต้องเขียนโค้ดใหม่ตั้งแต่ต้นเพื่อแทนที่ละทิ้งซอฟต์แวร์ดังกล่าวหากไม่พบทางเลือกอื่นโดยมีค่าใช้จ่ายเพิ่มเติม ข่าวประชาสัมพันธ์ของผู้จำหน่ายมีอยู่ด้านล่าง

การศึกษาของ Synopsys แสดงให้เห็นว่าร้อยละเก้าสิบเอ็ดของแอปพลิเคชันเชิงพาณิชย์มีส่วนประกอบโอเพนซอร์สที่ล้าสมัยหรือถูกละทิ้ง 

การวิเคราะห์โค้ดเบสเชิงพาณิชย์มากกว่า 1,250 รายการพบว่าความปลอดภัยของโอเพนซอร์สการปฏิบัติตามใบอนุญาตและความเสี่ยงในการปฏิบัติงานยังคงแพร่หลาย

สิงคโปร์, @mcgallen #microwireข้อมูล 13 พฤษภาคม 2020 - Synopsys, Inc.. (แนสแด็ก: SNPS) วันนี้เปิดตัว รายงานความปลอดภัยและการวิเคราะห์ความเสี่ยง (OSSRA) ประจำปี 2020. รายงานจัดทำโดย ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys (CyRC) ตรวจสอบผลการตรวจสอบรหัสฐานเชิงพาณิชย์มากกว่า 1,250 รายการดำเนินการโดยทีม Black Duck Audit Services รายงานนี้เน้นถึงแนวโน้มและรูปแบบในการใช้งานโอเพนซอร์สภายในแอปพลิเคชันเชิงพาณิชย์และให้ข้อมูลเชิงลึกและคำแนะนำเพื่อช่วยให้องค์กรสามารถจัดการความเสี่ยงของโอเพ่นซอร์สได้ดีขึ้นจากความปลอดภัยการปฏิบัติตามใบอนุญาตและมุมมองการดำเนินงาน

รายงาน OSSRA ปี 2020 ยืนยันถึงบทบาทสำคัญที่โอเพ่นซอร์สมีบทบาทในระบบนิเวศซอฟต์แวร์ในปัจจุบันโดยเปิดเผยว่าโค้ดเบสทั้งหมด (99%) ที่ตรวจสอบอย่างมีประสิทธิภาพในปีที่ผ่านมามีองค์ประกอบโอเพ่นซอร์สอย่างน้อยหนึ่งรายการโดยโอเพนซอร์สประกอบด้วย 70% ของโค้ด โดยรวม สิ่งที่น่าสังเกตยิ่งกว่าคือการใช้ส่วนประกอบโอเพนซอร์สที่มีอายุมากขึ้นอย่างต่อเนื่องโดย 91% ของโค้ดเบสที่มีส่วนประกอบที่ล้าสมัยมากกว่าสี่ปีหรือไม่เห็นกิจกรรมการพัฒนาในช่วงสองปีที่ผ่านมา

แนวโน้มที่เกี่ยวข้องมากที่สุดในการวิเคราะห์ในปีนี้คือความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นซึ่งเกิดจากโอเพ่นซอร์สที่ไม่มีการจัดการโดย 75% ของโค้ดเบสที่ตรวจสอบมีส่วนประกอบโอเพนซอร์สที่มีช่องโหว่ด้านความปลอดภัยที่ทราบแล้วเพิ่มขึ้นจาก 60% ในปีก่อนหน้า ในทำนองเดียวกันเกือบครึ่งหนึ่ง (49%) ของ codebases ที่มีอยู่ มีความเสี่ยงสูง ช่องโหว่เมื่อเทียบกับ 40% ก่อนหน้านี้เพียง 12 เดือน

“ มันยากที่จะละทิ้งบทบาทสำคัญที่โอเพ่นซอร์สมีบทบาทในการพัฒนาและปรับใช้ซอฟต์แวร์สมัยใหม่ แต่มันง่ายที่จะมองข้ามว่ามันส่งผลต่อความเสี่ยงของแอปพลิเคชันของคุณอย่างไรจากมุมมองด้านความปลอดภัยและการปฏิบัติตามใบอนุญาต” Tim Mackey นักยุทธศาสตร์ด้านความปลอดภัยหลักของ Synopsys ศูนย์วิจัยความปลอดภัยทางไซเบอร์ “ รายงาน OSSRA ประจำปี 2020 เน้นว่าองค์กรต่างๆยังคงต่อสู้เพื่อติดตามและจัดการความเสี่ยงโอเพนซอร์สอย่างมีประสิทธิภาพ การรักษาคลังส่วนประกอบซอฟต์แวร์ของบุคคลที่สามอย่างถูกต้องรวมถึงการอ้างอิงแบบโอเพนซอร์สและการปรับปรุงให้ทันสมัยอยู่เสมอเป็นจุดเริ่มต้นที่สำคัญในการจัดการกับความเสี่ยงของแอปพลิเคชันในหลายระดับ

สรุปแนวโน้มความเสี่ยงโอเพ่นซอร์สที่สำคัญที่สุดที่ระบุในรายงาน OSSRA ปี 2020 มีดังต่อไปนี้:

  • การใช้งานโอเพนซอร์สยังคงเพิ่มขึ้นอย่างต่อเนื่อง เก้าสิบเก้าเปอร์เซ็นต์ของโค้ดเบสมีโอเพ่นซอร์สอย่างน้อยบางส่วนโดยมีส่วนประกอบโอเพนซอร์สเฉลี่ย 445 รายการต่อโค้ดเบสซึ่งเพิ่มขึ้นอย่างมากจาก 298 ในปี 2018 โค้ดที่ตรวจสอบเจ็ดสิบเปอร์เซ็นต์ถูกระบุว่าเป็นโอเพ่นซอร์สซึ่งเป็นตัวเลขที่เพิ่มขึ้นจาก 60 % ในปี 2018 และเพิ่มขึ้นเกือบสองเท่าตั้งแต่ปี 2015 (36%)
  • คอมโพเนนต์โอเพนซอร์สที่ล้าสมัยและ "ถูกละทิ้ง" นั้นแพร่หลาย เก้าสิบเอ็ดเปอร์เซ็นต์ของโค้ดเบสมีส่วนประกอบที่ล้าสมัยมากกว่าสี่ปีหรือไม่มีกิจกรรมการพัฒนาในช่วงสองปีที่ผ่านมา นอกเหนือจากความเป็นไปได้ที่จะมีช่องโหว่ด้านความปลอดภัยเพิ่มขึ้นแล้วความเสี่ยงของการใช้ส่วนประกอบโอเพนซอร์สที่ล้าสมัยก็คือการอัปเดตอาจทำให้เกิดฟังก์ชันการทำงานที่ไม่ต้องการหรือปัญหาความเข้ากันได้
  • การใช้ส่วนประกอบโอเพนซอร์สที่มีช่องโหว่กำลังมีแนวโน้มสูงขึ้นอีกครั้ง ในปี 2019 เปอร์เซ็นต์ของโค้ดเบสที่มีส่วนประกอบโอเพนซอร์สที่มีช่องโหว่เพิ่มขึ้นเป็น 75% หลังจากลดลงจาก 78% เป็น 60% ระหว่างปี 2017 ถึง 2018 ในทำนองเดียวกันเปอร์เซ็นต์ของโค้ดเบสที่มีช่องโหว่ที่มีความเสี่ยงสูงเพิ่มขึ้นถึง 49% ในปี 2019 จาก 40% ในปี 2018 โชคดีที่ไม่มีการตรวจสอบโค้ดเบสในปี 2019 ได้รับผลกระทบจากบั๊ก Heartbleed ที่น่าอับอายหรือช่องโหว่ของ Apache Struts ที่หลอกหลอน Equifax ในปี 2017
  • ความขัดแย้งของใบอนุญาตโอเพนซอร์สยังคงทำให้ทรัพย์สินทางปัญญาตกอยู่ในความเสี่ยง แม้จะมีชื่อเสียงในด้านการเป็น "ฟรี" ซอฟต์แวร์โอเพนซอร์สก็ไม่ต่างจากซอฟต์แวร์อื่น ๆ ที่การใช้งานอยู่ภายใต้ใบอนุญาต หกสิบแปดเปอร์เซ็นต์ของโค้ดเบสมีข้อขัดแย้งของใบอนุญาตโอเพนซอร์สบางรูปแบบและ 33% มีส่วนประกอบโอเพนซอร์สที่ไม่มีใบอนุญาตที่สามารถระบุตัวตนได้ ความชุกของความขัดแย้งในใบอนุญาตแตกต่างกันอย่างมีนัยสำคัญตามอุตสาหกรรมตั้งแต่ระดับสูง 93% (แอพอินเทอร์เน็ตและมือถือ) ไปจนถึง 59% (ความจริงเสมือน, เกม, ความบันเทิง, สื่อ)

หากต้องการเรียนรู้เพิ่มเติมให้ดาวน์โหลดสำเนาของไฟล์ รายงาน OSSRA 2020.

20200513_snps_ossra_2020_infogrp
Synopsys Open Source Security and Risk Analysis Report (OSSRA) 2020 - ภาพรวม

เกี่ยวกับ Synopsys Software Integrity Group
Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys
Synopsys, Inc. (Nasdaq: SNPS) เป็นพันธมิตรของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท ซอฟต์แวร์รายใหญ่อันดับ 15 ของโลก Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติอิเล็กทรอนิกส์ (EDA) และเซมิคอนดักเตอร์ IP และยังเติบโตเป็นผู้นำด้านความปลอดภัยของซอฟต์แวร์และโซลูชันคุณภาพ ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์เขียนแอปพลิเคชันที่ต้องการความปลอดภัยและคุณภาพสูงสุด Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่มีความปลอดภัยและเป็นนวัตกรรมใหม่ ๆ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #