Đăng trên

Tóm tắt của người biên tập: Phần mềm nguồn mở (OSS) không chỉ là phần mềm như vậy được sử dụng miễn phí mà còn là khối lượng lớn công việc tốt được thực hiện bởi các lập trình viên và kiểm toán viên tình nguyện trên thế giới, tạo ra phần mềm và các thành phần mã tốt cho bất kỳ ai sử dụng. Theo báo cáo mới nhất của OSSRA (Phân tích rủi ro và an ninh nguồn mở) năm 2021 của Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC), nhiều ngành công nghiệp áp dụng OSS một cách rộng rãi và sâu rộng, bao gồm martech, chăm sóc sức khỏe, dịch vụ tài chính, fintech, bán lẻ và thương mại điện tử. Sau đó, rủi ro trong việc áp dụng PMNM là gì? Dưới đây là bản phát hành của nhà cung cấp.

Nghiên cứu Synopsys cho thấy sự gia tăng trong các thành phần nguồn mở dễ bị tổn thương, lỗi thời và bị bỏ rơi trong phần mềm thương mại 

Phân tích hơn 1,500 cơ sở mã thương mại cho thấy rằng các vấn đề về bảo mật nguồn mở, tuân thủ giấy phép và bảo trì là phổ biến trong mọi lĩnh vực công nghiệp

SINGAPORE, @mcgallen #microwirethông tin, ngày 14 tháng 2021 năm XNUMX - XNUMX - Tóm tắt nội dung. (Nasdaq: SNPS) hôm nay đã phát hành Phân tích rủi ro và bảo mật nguồn mở 2021 (OSSRA) báo cáo. Báo cáo do Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC), kiểm tra kết quả của hơn 1,500 cuộc đánh giá cơ sở mã thương mại, được thực hiện bởi nhóm Dịch vụ Kiểm toán Black Duck®. Báo cáo nêu bật các xu hướng sử dụng mã nguồn mở trong các ứng dụng thương mại và cung cấp thông tin chi tiết để giúp các nhà phát triển nguồn mở và thương mại hiểu rõ hơn về hệ sinh thái phần mềm được kết nối với nhau mà họ là một phần. Nó cũng nêu chi tiết các rủi ro phổ biến gây ra bởi nguồn mở không được quản lý, bao gồm các lỗ hổng bảo mật, các thành phần lỗi thời hoặc bị bỏ rơi và các vấn đề tuân thủ giấy phép.

Báo cáo OSSRA năm 2021 khẳng định rằng phần mềm nguồn mở cung cấp nền tảng cho phần lớn các ứng dụng trong tất cả các ngành. Nó cũng cho thấy rằng các ngành công nghiệp đó, ở các mức độ khác nhau, đang phải vật lộn để quản lý rủi ro nguồn mở.

  • 100% các công ty được kiểm toán trong lĩnh vực công nghệ tiếp thị - bao gồm CRM tạo khách hàng tiềm năng và truyền thông xã hội - chứa mã nguồn mở trong cơ sở mã của họ. 95% cơ sở mã công nghệ tiếp thị chứa các lỗ hổng mã nguồn mở.
  • 98% cơ sở mã ngành chăm sóc sức khỏe chứa mã nguồn mở. 67% trong số các cơ sở mã đó có lỗ hổng.
  • 97% dịch vụ tài chính / cơ sở mã lĩnh vực fintech chứa mã nguồn mở. Hơn 60% các cơ sở mã đó chứa các lỗ hổng.
  • 92% cơ sở mã trong lĩnh vực bán lẻ và thương mại điện tử chứa mã nguồn mở và 71% cơ sở mã trong lĩnh vực đó chứa lỗ hổng bảo mật.

Điều đáng quan tâm hơn nữa là việc sử dụng rộng rãi các thành phần nguồn mở bị bỏ rơi. Đáng báo động là 91% cơ sở mã chứa các phần phụ thuộc mã nguồn mở không có hoạt động phát triển nào trong hai năm qua - nghĩa là không có cải tiến mã và không có bản sửa lỗi bảo mật.

Tim Mackey, chiến lược gia bảo mật chính của Synopsys Cybersecurity Research Center cho biết: “Hơn 90% cơ sở mã sử dụng mã nguồn mở và không có hoạt động phát triển nào trong hai năm qua không có gì đáng ngạc nhiên. “Không giống như phần mềm thương mại, nơi các nhà cung cấp có thể đẩy thông tin đến người dùng của họ, mã nguồn mở dựa vào sự tham gia của cộng đồng để phát triển mạnh. Khi một thành phần nguồn mở được chấp nhận vào một sản phẩm thương mại mà không có sự tham gia đó, sức sống của dự án có thể dễ dàng suy giảm. Các dự án mồ côi không phải là một vấn đề mới, nhưng khi chúng xảy ra, việc giải quyết các vấn đề bảo mật trở nên khó hơn nhiều. Giải pháp là một giải pháp đơn giản - đầu tư vào việc hỗ trợ những dự án mà bạn phụ thuộc vào sự thành công của mình. "

Các xu hướng rủi ro nguồn mở khác được xác định trong báo cáo OSSRA năm 2021 bao gồm:

  • Các thành phần mã nguồn mở lỗi thời trong phần mềm thương mại là tiêu chuẩn. 85% cơ sở mã chứa các phụ thuộc mã nguồn mở đã lỗi thời hơn bốn năm. Không giống như các dự án bị bỏ rơi, các thành phần mã nguồn mở lỗi thời này có cộng đồng nhà phát triển tích cực, những người xuất bản các bản cập nhật và bản vá bảo mật không được người tiêu dùng thương mại hạ nguồn của họ áp dụng. Ngoài các tác động bảo mật rõ ràng của việc bỏ qua việc áp dụng các bản vá lỗi, việc sử dụng các thành phần mã nguồn mở lỗi thời có thể góp phần gây ra nợ kỹ thuật khó sử dụng dưới dạng các vấn đề về chức năng và tính tương thích liên quan đến các bản cập nhật trong tương lai.
  • Sự phổ biến của các lỗ hổng mã nguồn mở đang có xu hướng sai hướng. Vào năm 2020, tỷ lệ cơ sở mã chứa các thành phần mã nguồn mở dễ bị tấn công đã tăng lên 84% - tăng 9% so với năm 2019. Tương tự, tỷ lệ cơ sở mã chứa các lỗ hổng có nguy cơ cao đã tăng từ 49% lên 60%. Một số trong số 10 lỗ hổng mã nguồn mở hàng đầu được tìm thấy trong các cơ sở mã vào năm 2019 đã xuất hiện trở lại trong các cuộc kiểm tra năm 2020, tất cả đều có tỷ lệ phần trăm tăng lên đáng kể.
  • Hơn 90% cơ sở mã được kiểm toán chứa các thành phần mã nguồn mở có xung đột giấy phép, giấy phép tùy chỉnh hoặc không có giấy phép nào cả. 65% cơ sở mã được kiểm toán vào năm 2020 có xung đột giấy phép phần mềm nguồn mở, thường liên quan đến Giấy phép Công cộng GNU. 26% cơ sở mã đã sử dụng mã nguồn mở không có giấy phép hoặc giấy phép tùy chỉnh. Cả ba vấn đề này thường cần được đánh giá về khả năng vi phạm sở hữu trí tuệ và các mối quan tâm pháp lý khác, đặc biệt là trong bối cảnh các giao dịch mua bán và sáp nhập.

Để tìm hiểu thêm về các rủi ro tiềm ẩn liên quan đến phần mềm nguồn mở và cách giải quyết chúng, hãy tải xuống bản sao của Báo cáo OSSRA 2021, đọc blog đăng bàihoặc đăng ký vào ngày 21 tháng XNUMX webinar.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại Sydpsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại Symys.com.

# # #