Đăng trên

Tóm tắt của người biên tập: Trong khi cuộc khủng hoảng toàn cầu đã thúc đẩy các chính phủ và doanh nghiệp xem xét nghiêm túc hơn về việc kiềm chế chi phí đồng thời giải quyết hậu quả của đại dịch, việc áp dụng phần mềm nguồn mở (OSS) đã trở nên quan trọng. Với việc áp dụng PMNM ở cả cấp độ người dùng cuối cũng như ở các giai đoạn SDLC (vòng đời phát triển phần mềm), nhu cầu về tính toàn vẹn và bảo mật của mã đã trở nên tối quan trọng. Tuy nhiên, việc vá các thành phần PMNM có tăng tốc? Dưới đây là bản phát hành của nhà cung cấp.

Nghiên cứu tóm tắt cho thấy Bảo mật mã nguồn mở được quan tâm hàng đầu nhưng vá quá chậm

Khảo sát toàn cầu với 1,500 chuyên gia CNTT cho thấy 40% người được hỏi trên toàn thế giới bị gián đoạn lịch trình giao hàng để giải quyết các lỗ hổng nguồn mở

SINGAPORE, @mcgallen #microwirethông tin, ngày 9 tháng 2020 năm XNUMX - XNUMX - Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã phát hành báo cáo, Thực tiễn DevSecOps và Quản lý nguồn mở vào năm 2020. Sản xuất bởi Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC), báo cáo nêu bật những phát hiện từ cuộc khảo sát 1,500 chuyên gia CNTT làm việc trong lĩnh vực an ninh mạng, phát triển phần mềm, kỹ thuật phần mềm và phát triển web. Báo cáo khám phá các chiến lược mà các tổ chức trên thế giới đang sử dụng để giải quyết vấn đề quản lý lỗ hổng mã nguồn mở cũng như vấn đề ngày càng tăng của các thành phần mã nguồn mở đã lỗi thời hoặc bị bỏ rơi trong mã thương mại.

Mã nguồn mở đóng một vai trò quan trọng trong hệ sinh thái phần mềm ngày nay. Phần lớn các cơ sở mã hiện đại chứa các thành phần mã nguồn mở, với mã nguồn mở thường bao gồm 70% hoặc nhiều hơn mã tổng thể. Tuy nhiên, song song với sự phát triển của việc sử dụng mã nguồn mở là rủi ro bảo mật ngày càng tăng do mã nguồn mở không được quản lý. Trên thực tế, theo Báo cáo OSSRA 2020, 75% cơ sở mã được Synopsys kiểm tra chứa các thành phần mã nguồn mở với các lỗ hổng bảo mật đã biết. Để chống lại tình trạng này, những người tham gia cuộc khảo sát cho rằng việc xác định các lỗ hổng bảo mật đã biết là tiêu chí số một khi kiểm tra các thành phần nguồn mở mới.

“Rõ ràng là các lỗ hổng chưa được vá là nguyên nhân chính gây ra nỗi đau cho các nhà phát triển và cuối cùng là rủi ro kinh doanh”. Tim Mackey, chiến lược gia bảo mật chính của Trung tâm Nghiên cứu An ninh mạng Synopsys cho biết. “Báo cáo 'Thực tiễn DevSecOps và Quản lý nguồn mở năm 2020' nêu bật cách các tổ chức đang đấu tranh để theo dõi và quản lý rủi ro nguồn mở một cách hiệu quả."

“Hơn một nửa - 51% - nói rằng phải mất hai đến ba tuần để họ áp dụng bản vá mã nguồn mở,” Mackey tiếp tục. “Điều này có thể gắn với thực tế là chỉ 38% đang sử dụng công cụ phân tích thành phần phần mềm tự động (SCA) để xác định các thành phần nguồn mở nào đang được sử dụng và khi nào các bản cập nhật được phát hành. Các tổ chức còn lại có lẽ đang sử dụng các quy trình thủ công để quản lý mã nguồn mở - các quy trình có thể làm chậm các nhóm phát triển và vận hành, buộc họ phải bắt kịp vấn đề bảo mật trong môi trường mà trung bình, hàng chục tiết lộ bảo mật mới được công bố hàng ngày. ”

Các phát hiện đáng chú ý khác trong báo cáo “Thực tiễn DevSecOps và Quản lý nguồn mở năm 2020” bao gồm:

  • DevSecOps đang phát triển nhanh chóng trên toàn thế giới. Tổng cộng 63% số người được hỏi báo cáo rằng họ đang kết hợp một số biện pháp về các hoạt động DevSecOps vào đường ống phát triển phần mềm của họ.
  • Không có công cụ kiểm tra bảo mật ứng dụng (AST) được chấp nhận rộng rãi. Như câu trả lời cho các câu hỏi khảo sát cho thấy, không thiếu các công cụ và kỹ thuật kiểm tra bảo mật ứng dụng. Tuy nhiên, ngay cả công cụ AST với tỷ lệ chấp nhận cao nhất vẫn chỉ được sử dụng bởi dưới một nửa số người được hỏi.
  • Các phương tiện truyền thông đóng một vai trò quan trọng trong quản lý rủi ro mã nguồn mở. XNUMX% số người được hỏi lưu ý rằng việc đưa tin trên các phương tiện truyền thông đã thúc đẩy tổ chức của họ áp dụng các biện pháp kiểm soát nghiêm ngặt hơn đối với việc sử dụng mã nguồn mở.
  • Bốn mươi bảy phần trăm người được hỏi đang xác định các tiêu chuẩn xung quanh tuổi của các thành phần nguồn mở mà họ sử dụng. Một vấn đề ngày càng tăng trong cộng đồng nguồn mở là tính bền vững của dự án. Một năm 2020 Nghiên cứu tóm tắt cho thấy rằng 91% cơ sở mã được kiểm toán vào năm 2019 chứa các thành phần mã nguồn mở đã lỗi thời hơn bốn năm hoặc không có hoạt động phát triển nào trong hai năm qua. Rủi ro bảo mật tăng lên khi mã lỗi thời được triển khai, bao gồm cả nguy cơ một thành phần nguồn mở bị chiếm quyền điều khiển. Một tình huống như vậy đã xảy ra vào năm 2018 khi thành phần luồng sự kiện bị tấn công để nhắm mục tiêu Bitcoin trong tài khoản Copay.

Để tìm hiểu thêm, hãy tải xuống bản sao của Thực tiễn DevSecOps và Quản lý nguồn mở vào năm 2020 báo cáo.

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys

Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #