โพสต์

สิงคโปร์, @mcgallen #microwireข้อมูล 8 พฤษภาคม 2019 - Synopsys, Inc.. (Nasdaq: SNPS) เปิดตัว รายงานความปลอดภัยและการวิเคราะห์ความเสี่ยง (OSSRA) ประจำปี 2019. รายงานจัดทำโดย ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys (CyRC) ตรวจสอบผลการตรวจสอบแอปพลิเคชันและไลบรารีเชิงพาณิชย์มากกว่า 1,200 รายการดำเนินการโดยทีม Black Duck Audit Services รายงานนี้เน้นถึงแนวโน้มและรูปแบบในการใช้โอเพนซอร์สตลอดจนความชุกของส่วนประกอบโอเพนซอร์สที่ไม่ปลอดภัยและข้อขัดแย้งของใบอนุญาต

ดังที่แสดงในรายงานแนวโน้มการใช้โอเพนซอร์สหลายประการที่นำเสนอความท้าทายด้านการจัดการความเสี่ยงต่อองค์กรในปีก่อน ๆ ยังคงมีอยู่ในปัจจุบัน อย่างไรก็ตามข้อมูลยังชี้ให้เห็นว่าได้มาถึงจุดเปลี่ยนแล้วโดยหลายองค์กรได้ปรับปรุงความสามารถในการจัดการความเสี่ยงของโอเพ่นซอร์สซึ่งอาจเกิดจากการรับรู้ที่เพิ่มขึ้นและการเติบโตของโซลูชันการวิเคราะห์องค์ประกอบซอฟต์แวร์เชิงพาณิชย์

“ โอเพ่นซอร์สมีบทบาทสำคัญมากขึ้นในการพัฒนาและปรับใช้ซอฟต์แวร์สมัยใหม่ แต่เพื่อให้ตระหนักถึงคุณค่าองค์กรต่างๆจำเป็นต้องเข้าใจและจัดการว่าจะส่งผลกระทบต่อความเสี่ยงจากมุมมองด้านความปลอดภัยและการปฏิบัติตามใบอนุญาตอย่างไร” Tim Mackey นักยุทธศาสตร์ด้านความปลอดภัยหลักของ ศูนย์วิจัยความปลอดภัยทางไซเบอร์ของ Synopsys “ รายงาน OSSRA ประจำปี 2019 ให้ข้อมูลคร่าวๆเกี่ยวกับสถานะของการจัดการความเสี่ยงโอเพ่นซอร์สภายในแอปพลิเคชันเชิงพาณิชย์ แสดงให้เห็นว่ายังคงมีความท้าทายที่สำคัญโดยแอปพลิเคชันส่วนใหญ่มีช่องโหว่ด้านความปลอดภัยโอเพ่นซอร์สและข้อขัดแย้งของใบอนุญาต แต่ยังชี้ให้เห็นว่าความท้าทายเหล่านี้สามารถแก้ไขได้เนื่องจากช่องโหว่ของโอเพ่นซอร์สและข้อขัดแย้งด้านใบอนุญาตลดลงจากปีที่แล้ว”

แนวโน้มความเสี่ยงของโอเพ่นซอร์สที่สำคัญที่สุดที่ระบุในรายงาน OSSRA ประจำปี 2019 ได้แก่ :

  • มีการเพิ่มขึ้นอย่างมากในการนำโอเพนซอร์สมาใช้ เก้าสิบหกเปอร์เซ็นต์ของโค้ดเบสที่ตรวจสอบในปี 2018 มีส่วนประกอบโอเพนซอร์สโดยเฉลี่ย 298 คอมโพเนนต์โอเพนซอร์สต่อโค้ดเบสเทียบกับ 257 ในปี 2017
  • ความขัดแย้งของใบอนุญาตโอเพนซอร์สอาจทำให้ทรัพย์สินทางปัญญาตกอยู่ในความเสี่ยง หกสิบแปดเปอร์เซ็นต์ของโค้ดเบสมีความขัดแย้งของใบอนุญาตโอเพนซอร์สบางรูปแบบและ 38% มีส่วนประกอบโอเพนซอร์สที่ไม่มีใบอนุญาตที่สามารถระบุตัวตนได้
  • การใช้ส่วนประกอบ 'ละทิ้ง' เป็นเรื่องปกติ แปดสิบห้าเปอร์เซ็นต์ของโค้ดเบสมีส่วนประกอบที่ล้าสมัยมากกว่าสี่ปีหรือไม่มีการพัฒนาในช่วงสองปีที่ผ่านมา หากส่วนประกอบไม่ได้ใช้งานและไม่มีใครดูแลส่วนประกอบนั่นหมายความว่าไม่มีใครแก้ไขช่องโหว่ที่อาจเกิดขึ้นได้
  • หลายองค์กรล้มเหลวในการแก้ไขหรืออัปเดตส่วนประกอบโอเพนซอร์ส อายุเฉลี่ยของช่องโหว่ที่ระบุในปี 2018 Black Duck Audits คือ 6.6 ปีสูงกว่าปี 2017 เล็กน้อยซึ่งบ่งชี้ว่าความพยายามในการแก้ไขยังไม่ดีขึ้นอย่างมีนัยสำคัญ สี่สิบสามเปอร์เซ็นต์ของโค้ดเบสที่สแกนในปี 2018 มีช่องโหว่ที่มีอายุมากกว่า 10 ปี เมื่อพิจารณาจากฉากหลังของฐานข้อมูลช่องโหว่แห่งชาติที่เพิ่มช่องโหว่ใหม่กว่า 16,500 ช่องในปี 2018 กระบวนการแก้ไขที่ชัดเจนจำเป็นต้องปรับขนาดเพื่อรองรับการเปิดเผยข้อมูลที่เพิ่มขึ้น
  • ช่องโหว่ทั้งหมดไม่ได้ถูกสร้างขึ้นเท่ากัน แต่หลายองค์กรไม่ได้จัดการกับช่องโหว่ที่เสี่ยงที่สุดด้วยซ้ำ โค้ดเบสกว่า 40% มีช่องโหว่ของโอเพ่นซอร์สที่มีความเสี่ยงสูงอย่างน้อยหนึ่งช่อง

รายงานตั้งข้อสังเกตว่าการใช้ซอฟต์แวร์โอเพนซอร์สไม่ได้เป็นปัญหาในตัวมันเองและในความเป็นจริงแล้วจำเป็นต่อการสร้างสรรค์นวัตกรรมซอฟต์แวร์ แต่การไม่ระบุและจัดการความเสี่ยงด้านความปลอดภัยและใบอนุญาตในเชิงรุกที่เกี่ยวข้องกับการใช้ส่วนประกอบโอเพนซอร์สอาจสร้างความเสียหายได้มาก แม้จะมีการระบุปัจจัยเสี่ยง แต่ข้อมูล OSSRA ปี 2019 ชี้ให้เห็นว่าหลังจากการละเมิดของ Equifax การเพิ่มขึ้นของการรับรู้ถึงความเสี่ยงของโอเพนซอร์สและการเติบโตของโซลูชันการวิเคราะห์องค์ประกอบซอฟต์แวร์เชิงพาณิชย์ทำให้เกิดความก้าวหน้า:

  • องค์กรต่างๆเริ่มจัดการช่องโหว่ด้านความปลอดภัยแบบโอเพนซอร์สได้ดีขึ้น หกสิบเปอร์เซ็นต์ของฐานข้อมูลที่ตรวจสอบในปี 2018 มีช่องโหว่อย่างน้อยหนึ่งช่อง - ยังคงมีความสำคัญ แต่ดีกว่าตัวเลข 78% จากปี 2017 มาก
  • โดยรวมแล้วการปฏิบัติตามใบอนุญาตโอเพนซอร์สได้รับการปรับปรุงเช่นกัน หกสิบแปดเปอร์เซ็นต์ของฐานรหัสที่ตรวจสอบในปี 2018 มีส่วนประกอบที่มีข้อขัดแย้งของใบอนุญาตเทียบกับ 74% ในปี 2017

หากต้องการเรียนรู้เพิ่มเติมให้ดาวน์โหลดสำเนาของไฟล์ รายงาน OSSRA 2019.

เกี่ยวกับแพลตฟอร์ม Synopsys Software Integrity 
Synopsys Software Integrity Group ช่วยให้องค์กรสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ http://www.synopsys.com/software.

เกี่ยวกับ Synopsys
Synopsys, Inc. (Nasdaq: SNPS) เป็นพันธมิตรของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท ซอฟต์แวร์รายใหญ่อันดับ 15 ของโลก Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติอิเล็กทรอนิกส์ (EDA) และเซมิคอนดักเตอร์ IP และยังเติบโตเป็นผู้นำด้านความปลอดภัยของซอฟต์แวร์และโซลูชันคุณภาพ ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์เขียนแอปพลิเคชันที่ต้องการความปลอดภัยและคุณภาพสูงสุด Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่มีความปลอดภัยและเป็นนวัตกรรมใหม่ ๆ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #