Đăng trên

Tóm tắt của người biên tập: Phần mềm nguồn mở (OSS), cho dù ở dạng hoàn thiện hay là các thành phần để tạo thành một phần của phần mềm hoặc ứng dụng, đang ngày càng trở nên phổ biến. Mã mô-đun là con đường để đi, và cách nào dễ dàng hơn để tìm kiếm kho lưu trữ và tìm kiếm các đoạn phần mềm hoặc mô-đun mà bạn có thể chỉ cần cắm vào phần mềm tùy chỉnh của riêng mình? Tiết kiệm thời gian và tiền bạc, phải không? Tuy nhiên, sự tiện lợi thường là nhược điểm của an ninh mạng. Như Synopsys phát hiện ra, 91% ứng dụng thương mại chứa các thành phần OSS lỗi thời hoặc thậm chí bị bỏ rơi, có thể gây ra các rủi ro và lỗ hổng bảo mật mạng nghiêm trọng, một số trong số đó có thể không thể sửa chữa được. Mã mới có thể cần được viết từ đầu để thay thế phần mềm bỏ rơi đó nếu không tìm thấy giải pháp thay thế, với chi phí bổ sung. Bản phát hành tin tức của nhà cung cấp được tìm thấy bên dưới.

Nghiên cứu của Synopsys cho thấy XNUMX% ứng dụng thương mại có chứa các thành phần nguồn mở lỗi thời hoặc bị bỏ rơi 

Phân tích hơn 1,250 cơ sở mã thương mại cho thấy rằng bảo mật nguồn mở, tuân thủ giấy phép và rủi ro hoạt động vẫn phổ biến

SINGAPORE, @mcgallen #microwirethông tin, ngày 13 tháng 2020 năm XNUMX - XNUMX - Tóm tắt nội dung. (Nasdaq: SNPS) hôm nay đã phát hành Báo cáo Phân tích Rủi ro và An ninh Nguồn Mở (OSSRA) năm 2020. Báo cáo do Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC), kiểm tra kết quả của hơn 1,250 cuộc đánh giá các cơ sở mã thương mại, được thực hiện bởi nhóm Dịch vụ Đánh giá Vịt đen. Báo cáo nêu bật các xu hướng và mô hình sử dụng nguồn mở trong các ứng dụng thương mại, đồng thời cung cấp thông tin chi tiết và khuyến nghị để giúp các tổ chức quản lý rủi ro nguồn mở tốt hơn từ khía cạnh bảo mật, tuân thủ giấy phép và hoạt động.

Báo cáo OSSRA năm 2020 tái khẳng định vai trò quan trọng của mã nguồn mở trong hệ sinh thái phần mềm ngày nay, tiết lộ rằng tất cả (99%) cơ sở mã được kiểm toán trong năm qua đều chứa ít nhất một thành phần mã nguồn mở, với mã nguồn mở chiếm 70% mã. về tổng thể. Đáng chú ý hơn là việc tiếp tục sử dụng rộng rãi các thành phần mã nguồn mở cũ hoặc bị bỏ rơi, với 91% cơ sở mã chứa các thành phần đã lỗi thời hơn bốn năm hoặc không thấy hoạt động phát triển nào trong hai năm qua.

Xu hướng đáng lo ngại nhất trong phân tích năm nay là rủi ro bảo mật ngày càng gia tăng do mã nguồn mở không được quản lý gây ra, với 75% cơ sở mã được kiểm toán có chứa các thành phần nguồn mở có lỗ hổng bảo mật đã biết, tăng từ 60% của năm trước. Tương tự, gần một nửa (49%) cơ sở mã chứa rủi ro cao lỗ hổng bảo mật, so với 40% chỉ 12 tháng trước.

Tim Mackey, chiến lược gia bảo mật chính của Synopsys cho biết: “Thật khó để loại bỏ vai trò quan trọng của mã nguồn mở trong việc triển khai và phát triển phần mềm hiện đại, nhưng thật dễ dàng bỏ qua cách nó tác động đến tình trạng rủi ro ứng dụng của bạn từ góc độ bảo mật và tuân thủ giấy phép”. Trung tâm nghiên cứu an ninh mạng. “Báo cáo OSSRA năm 2020 nhấn mạnh cách các tổ chức tiếp tục đấu tranh để theo dõi và quản lý hiệu quả rủi ro nguồn mở của họ. Duy trì một bản kiểm kê chính xác các thành phần phần mềm của bên thứ ba, bao gồm cả các phần phụ thuộc nguồn mở và cập nhật nó là điểm khởi đầu quan trọng để giải quyết rủi ro ứng dụng ở nhiều cấp độ ”.

Bản tóm tắt các xu hướng rủi ro nguồn mở đáng chú ý nhất được xác định trong báo cáo OSSRA 2020 như sau:

  • Việc áp dụng mã nguồn mở tiếp tục tăng vọt. Chín mươi chín phần trăm cơ sở mã chứa ít nhất một số mã nguồn mở, với trung bình 445 thành phần nguồn mở trên mỗi cơ sở mã - tăng đáng kể so với 298 vào năm 2018. 60 phần trăm mã được kiểm toán được xác định là mã nguồn mở, con số này tăng từ 2018 % vào năm 2015 và đã tăng gần gấp đôi kể từ năm 36 (XNUMX%).
  • Các thành phần mã nguồn mở lỗi thời và “bị bỏ rơi” đang phổ biến. Chín mươi mốt phần trăm cơ sở mã chứa các thành phần đã lỗi thời hơn bốn năm hoặc không có hoạt động phát triển nào trong hai năm qua. Ngoài khả năng tồn tại các lỗ hổng bảo mật ngày càng tăng, rủi ro khi sử dụng các thành phần mã nguồn mở đã lỗi thời là việc cập nhật chúng cũng có thể gây ra các vấn đề về chức năng hoặc tính tương thích không mong muốn.
  • Việc sử dụng các thành phần mã nguồn mở dễ bị tấn công đang có xu hướng tăng trở lại. Vào năm 2019, tỷ lệ cơ sở mã có chứa các thành phần nguồn mở dễ bị tấn công đã tăng lên 75% sau khi giảm từ 78% xuống 60% trong giai đoạn 2017 - 2018. Tương tự, tỷ lệ cơ sở mã chứa các lỗ hổng có nguy cơ cao đã tăng lên 49% vào năm 2019 từ 40%. vào năm 2018. May mắn thay, không có cơ sở mã nào được kiểm tra vào năm 2019 bị ảnh hưởng bởi lỗi Heartbleed khét tiếng hoặc lỗ hổng Apache Struts đã ám ảnh Equifax vào năm 2017.
  • Xung đột giấy phép mã nguồn mở tiếp tục gây nguy cơ sở hữu trí tuệ. Mặc dù nổi tiếng là "miễn phí", phần mềm nguồn mở không khác bất kỳ phần mềm nào khác ở chỗ việc sử dụng nó được điều chỉnh bởi giấy phép. Sáu mươi tám phần trăm cơ sở mã chứa một số dạng xung đột giấy phép nguồn mở và 33% chứa các thành phần nguồn mở không có giấy phép nhận dạng. Tỷ lệ xung đột giấy phép thay đổi đáng kể theo ngành, từ mức cao 93% (Ứng dụng Internet & Di động) đến tương đối thấp là 59% (Thực tế ảo, Trò chơi, Giải trí, Truyền thông).

Để tìm hiểu thêm, hãy tải xuống bản sao của Báo cáo OSSRA 2020.

20200513_snps_ossra_2020_infogrp
Báo cáo phân tích rủi ro và bảo mật mã nguồn mở (OSSRA) 2020 - ảnh chụp nhanh

Giới thiệu về Nhóm toàn vẹn phần mềm Synopsys
Synopsys Software Integrity Group giúp các nhóm phát triển xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys
Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #