โพสต์

ผลการวิจัยแสดงให้เห็นถึงหนึ่งในสามของฐานรหัสที่ตรวจสอบแล้วซึ่งมี Apache Struts ยังมีช่องโหว่ที่ส่งผลให้เกิดการละเมิด Equifax

สิงคโปร์, @mcgallen #microwireข้อมูล, 15 พฤษภาคม 2018 - Synopsys, Inc. (Nasdaq: SNPS) เปิดตัวรายงาน Black Duck โดย Synopsys 2018 Open Source Security and Risk Analysis (OSSRA) ซึ่งตรวจสอบสิ่งที่ค้นพบจากข้อมูลที่ไม่ระบุตัวตนของโค้ดเบสเชิงพาณิชย์กว่า 1,100 รายการที่ตรวจสอบในปี 2017 อุตสาหกรรมที่แสดงในรายงาน ได้แก่ ยานยนต์ข้อมูลขนาดใหญ่การรักษาความปลอดภัยทางไซเบอร์ซอฟต์แวร์สำหรับองค์กรบริการทางการเงินการดูแลสุขภาพ Internet of Things (IoT) การผลิตและตลาดแอปบนอุปกรณ์เคลื่อนที่

รายงานดังกล่าวชี้ให้เห็นถึงการเพิ่มขึ้นอย่างมากในการนำโอเพนซอร์สมาใช้โดย 96 เปอร์เซ็นต์ของแอปพลิเคชันที่สแกนมีส่วนประกอบโอเพนซอร์ส ข้อมูลยังแสดงให้เห็นว่าจำนวนเฉลี่ยของส่วนประกอบโอเพนซอร์สที่พบต่อ codebase (257) เพิ่มขึ้น 75 เปอร์เซ็นต์จากปีที่แล้วโดยมีแอปพลิเคชันจำนวนมากที่มีโอเพ่นซอร์สมากกว่ารหัสที่เป็นกรรมสิทธิ์ สิ่งที่น่าเป็นห่วงคือ 78 เปอร์เซ็นต์ของโค้ดเบสที่ตรวจสอบมีช่องโหว่ของโอเพ่นซอร์สอย่างน้อยหนึ่งช่องโดยมีช่องโหว่เฉลี่ย 64 ช่องต่อโค้ดเบส กว่า 54 เปอร์เซ็นต์ของช่องโหว่ที่พบในโค้ดเบสที่ตรวจสอบแล้วถือเป็นช่องโหว่ที่มีความเสี่ยงสูง เจ็ดเปอร์เซ็นต์ของโค้ดเบสมีช่องโหว่ที่ได้รับการเผยแพร่อย่างมากเช่น Heartbleed, Logjam, Freak, Drown หรือ Poodle

“ เนื่องจากซอฟต์แวร์และโครงสร้างพื้นฐานที่ทันสมัยขึ้นอยู่กับเทคโนโลยีโอเพ่นซอร์สเป็นอย่างมากการมีมุมมองที่ชัดเจนเกี่ยวกับองค์ประกอบที่ใช้งานจึงเป็นส่วนสำคัญของการกำกับดูแลกิจการ” Tim Mackey ผู้เผยแพร่ศาสนาด้านเทคนิคของ Black Duck โดย Synopsys กล่าว “ รายงานดังกล่าวแสดงให้เห็นอย่างชัดเจนว่าด้วยการเติบโตของการใช้โอเพนซอร์สองค์กรต่างๆจำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขามีเครื่องมือในการตรวจจับช่องโหว่ในส่วนประกอบโอเพนซอร์สและจัดการการปฏิบัติตามใบอนุญาตใด ๆ ก็ตามที่พวกเขาอาจต้องการใช้โอเพนซอร์ส

พบส่วนประกอบโอเพนซอร์สที่มีช่องโหว่ในแอปพลิเคชันในทุกอุตสาหกรรม กลุ่มธุรกิจโครงสร้างพื้นฐานอินเทอร์เน็ตและซอฟต์แวร์มีสัดส่วนสูงสุด - 67 เปอร์เซ็นต์ของแอปพลิเคชันที่มีช่องโหว่ของโอเพ่นซอร์สที่มีความเสี่ยงสูง แดกดัน 41 เปอร์เซ็นต์ของแอปพลิเคชันในอุตสาหกรรมความปลอดภัยไซเบอร์พบว่ามีช่องโหว่โอเพ่นซอร์สที่มีความเสี่ยงสูงทำให้แนวดิ่งนั้นมีความเสี่ยงสูงสุดเป็นอันดับสี่

นอกจากนี้ 33 เปอร์เซ็นต์ของโค้ดเบสที่ตรวจสอบแล้วซึ่งมี Apache Struts ยังมีช่องโหว่ที่ส่งผลให้เกิดการละเมิด Equifax รายงานแสดงให้เห็นอย่างชัดเจนว่าองค์กรต่างๆปล่อยให้ช่องโหว่จำนวนมากขึ้นเรื่อย ๆ เพื่อสะสมในฐานข้อมูล โดยเฉลี่ยแล้วช่องโหว่ที่ระบุในการตรวจสอบถูกเปิดเผยเมื่อเกือบหกปีที่แล้ว

“ เมื่อ Equifax ถูกละเมิดผ่านช่องโหว่ของ Apache Struts ความจำเป็นในการจัดการความปลอดภัยแบบโอเพนซอร์สกลายเป็นข่าวหน้าหนึ่ง” Evan Klein ผู้จัดการฝ่ายการตลาดผลิตภัณฑ์ Black Duck ที่รับผิดชอบรายงาน OSSRA กล่าว “ แม้ว่าจะมีการเปิดเผยในเดือนมีนาคม 2017 แต่หลายองค์กรก็ยังไม่ได้ตรวจสอบแอปพลิเคชันของตนเพื่อหาช่องโหว่ของ Struts”

จากผลการวิจัยพบว่า 74 เปอร์เซ็นต์ของฐานรหัสที่ตรวจสอบยังมีส่วนประกอบที่มีข้อขัดแย้งของใบอนุญาตซึ่งส่วนใหญ่เป็นการละเมิดใบอนุญาต GPL เปอร์เซ็นต์ของแอปพลิเคชันที่มีข้อขัดแย้งของใบอนุญาตภายในประเภทธุรกิจอยู่ในระดับต่ำเมื่อเทียบกับอุตสาหกรรมการค้าปลีกและอีคอมเมิร์ซที่ต่ำกว่า 61 เปอร์เซ็นต์ไปจนถึงระดับสูงสุดของอุตสาหกรรมโทรคมนาคมและระบบไร้สายโดยที่โค้ดที่สแกน 100 เปอร์เซ็นต์มีข้อขัดแย้งของใบอนุญาตโอเพนซอร์ส

ดาวน์โหลดรายงาน OSSRA ได้ที่ https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

เกี่ยวกับแพลตฟอร์ม Synopsys Software Integrity
Synopsys Software Integrity Group ช่วยให้องค์กรสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรเพิ่มความปลอดภัยและคุณภาพสูงสุดใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys
Synopsys, Inc. (Nasdaq: SNPS) เป็นพันธมิตรของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท ซอฟต์แวร์รายใหญ่อันดับ 15 ของโลก Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติอิเล็กทรอนิกส์ (EDA) และเซมิคอนดักเตอร์ IP และยังเติบโตเป็นผู้นำด้านความปลอดภัยของซอฟต์แวร์และโซลูชันคุณภาพ ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์เขียนแอปพลิเคชันที่ต้องการความปลอดภัยและคุณภาพสูงสุด Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่มีความปลอดภัยและเป็นนวัตกรรมใหม่ ๆ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #