Đăng trên

Tóm tắt của người biên tập: Tính toàn vẹn và bảo mật của phần mềm ngày nay là điều tối quan trọng, với chuỗi cung ứng phần mềm đang là trọng tâm trong bối cảnh bất ổn toàn cầu ngày nay. Nhà cung cấp hàng đầu về tính toàn vẹn và bảo mật của phần mềm, Synopsys, đã phát hành báo cáo Phân tích Rủi ro và An ninh Nguồn Mở (OSSRA) năm 2022. Trong khi phân tích hơn 2,400 cơ sở mã thương mại và độc quyền cho thấy sự giảm sút về giấy phép nguồn mở và rủi ro về lỗ hổng bảo mật, báo cáo cảnh báo rằng 88% tổ chức vẫn còn tụt hậu trong việc cập nhật mã nguồn mở. Báo cáo tiết lộ 20% cơ sở mã được đánh giá chứa mã nguồn mở không có giấy phép hoặc có giấy phép tùy chỉnh. Dưới đây là bản phát hành của nhà cung cấp.

Synopsys Nghiên cứu những thách thức cốt lõi nổi bật với việc quản lý rủi ro nguồn mở trong chuỗi cung ứng phần mềm

Phân tích hơn 2,400 cơ sở mã thương mại và độc quyền cho thấy sự giảm sút về giấy phép mã nguồn mở và rủi ro về lỗ hổng bảo mật, nhưng 88% tổ chức vẫn đi sau trong việc cập nhật mã nguồn mở

SINGAPORE, @mcgallen #microwirethông tin, ngày 13 tháng 2022 năm XNUMX - XNUMX - Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã phát hành Báo cáo Phân tích Rủi ro và An ninh Nguồn Mở (OSSRA) năm 2022. Báo cáo do Synopsys Trung tâm nghiên cứu an ninh mạng (CyRC), kiểm tra kết quả của hơn 2,400 cuộc kiểm toán các cơ sở mã thương mại và độc quyền từ các giao dịch mua bán và sáp nhập, do nhóm Dịch vụ Kiểm toán Black Duck® thực hiện. Báo cáo nêu bật các xu hướng sử dụng mã nguồn mở trong các ứng dụng thương mại và độc quyền, đồng thời cung cấp thông tin chi tiết để giúp các nhà phát triển hiểu rõ hơn về hệ sinh thái phần mềm được kết nối với nhau. Nó cũng nêu chi tiết các rủi ro phổ biến do nguồn mở không được quản lý gây ra, bao gồm các lỗ hổng bảo mật, các thành phần lỗi thời hoặc bị bỏ rơi và các vấn đề tuân thủ giấy phép.

Các phát hiện của báo cáo OSSRA năm 2022 nhấn mạnh thực tế là mã nguồn mở được sử dụng ở mọi nơi, trong mọi ngành và là nền tảng của mọi ứng dụng được xây dựng ngày nay.

  • Mã nguồn mở lỗi thời vẫn là tiêu chuẩn — bao gồm cả sự hiện diện của các phiên bản Log4j dễ bị tấn công. Từ góc độ rủi ro hoạt động / bảo trì, 85% trong số 2,097 cơ sở mã chứa mã nguồn mở đã lỗi thời hơn 88 năm. 5% đã sử dụng các thành phần không phải là phiên bản mới nhất hiện có. 4% chứa phiên bản LogXNUMXj dễ bị tấn công.
  • Các cơ sở mã được đánh giá cho thấy các lỗ hổng mã nguồn mở đang giảm về tổng thể. 2,097 cơ sở mã được đánh giá bao gồm đánh giá rủi ro hoạt động và bảo mật. Số lượng cơ sở mã có chứa các lỗ hổng mã nguồn mở rủi ro cao đã giảm đáng kể. 49% cơ sở mã được kiểm toán năm nay chứa ít nhất một lỗ hổng bảo mật rủi ro cao, so với 60% của năm ngoái. Ngoài ra, 81% cơ sở mã được đánh giá có chứa ít nhất một lỗ hổng mã nguồn mở đã biết, giảm tối thiểu 3% so với phát hiện của OSSRA năm 2021.
  • Xung đột giấy phép nói chung cũng đang giảm. Hơn một nửa — 53% — trong số các cơ sở mã chứa xung đột giấy phép, giảm đáng kể so với mức 65% được thấy vào năm 2020. Nhìn chung, xung đột giấy phép cụ thể đã giảm trên diện rộng từ năm 2020 đến năm 2021.
  • 20% cơ sở mã được đánh giá chứa mã nguồn mở không có giấy phép hoặc có giấy phép tùy chỉnh. Vì giấy phép phần mềm điều chỉnh quyền sử dụng nó, phần mềm không có giấy phép dẫn đến tình trạng tiến thoái lưỡng nan là liệu việc sử dụng thành phần nguồn mở có dẫn đến rủi ro pháp lý hay không. Ngoài ra, giấy phép nguồn mở tùy chỉnh có thể đặt ra các yêu cầu không mong muốn đối với người được cấp phép và thường sẽ yêu cầu đánh giá pháp lý về các vấn đề IP có thể xảy ra hoặc các tác động khác.

Tim Mackey, chiến lược gia chính về bảo mật cho biết: “Người dùng phần mềm SCA đã tập trung sự chú ý của họ vào việc giảm thiểu các vấn đề về giấy phép nguồn mở và giải quyết các lỗ hổng có nguy cơ cao. với Synopsys Trung tâm nghiên cứu an ninh mạng. “Thực tế là hơn một nửa số cơ sở mã chúng tôi đã kiểm tra vẫn chứa xung đột giấy phép và gần một nửa vẫn chứa các lỗ hổng có nguy cơ cao. Rắc rối hơn nữa là 88% cơ sở mã [có đánh giá rủi ro] chứa các phiên bản lỗi thời của các thành phần mã nguồn mở với bản cập nhật hoặc bản vá có sẵn chưa được áp dụng ”.

Mackey tiếp tục: “Có những lý do chính đáng cho việc không cập nhật phần mềm hoàn toàn. “Tuy nhiên, trừ khi một tổ chức giữ một bản kiểm kê chính xác và cập nhật về nguồn mở được sử dụng trong mã của họ, một thành phần lỗi thời có thể bị lãng quên cho đến khi nó trở nên dễ bị khai thác rủi ro cao và sau đó là cuộc tranh giành để xác định vị trí của nó đang được sử dụng và để cập nhật nó đang được bật. Đây chính xác là những gì đã xảy ra với Log4j, và tại sao chuỗi cung ứng phần mềm và Hóa đơn nguyên vật liệu phần mềm (SBOM) lại là những chủ đề nóng như vậy ”.

Để tìm hiểu thêm về những rủi ro tiềm ẩn liên quan đến phần mềm nguồn mở và cách giải quyết chúng, tải xuống bản sao của báo cáo OSSRA 2022, đọc bài đăng trên bloghoặc đăng ký hội thảo trên web ngày 22 tháng XNUMX.

Giới thiệu về Synopsys Nhóm toàn vẹn phần mềm

Synopsys Software Integrity Group cung cấp các giải pháp tích hợp giúp thay đổi cách các nhóm phát triển xây dựng và cung cấp phần mềm, tăng tốc đổi mới đồng thời giải quyết rủi ro kinh doanh. Danh mục sản phẩm và dịch vụ bảo mật phần mềm hàng đầu trong ngành của chúng tôi là danh mục toàn diện nhất trên thế giới và tương tác với các công cụ của bên thứ ba và mã nguồn mở, cho phép các tổ chức tận dụng các khoản đầu tư hiện có để xây dựng chương trình bảo mật tốt nhất cho họ. Chỉ còn Synopsys cung cấp mọi thứ bạn cần để xây dựng lòng tin vào phần mềm của mình. Tìm hiểu thêm tại www.synopsys.com / phần mềm.

Giới thiệu Synopsys

Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là một công ty thuộc S&P 500, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu về tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cung cấp danh mục công cụ và dịch vụ kiểm tra bảo mật ứng dụng rộng nhất trong ngành. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết mã chất lượng cao, an toàn hơn, Synopsys có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo. Tìm hiểu thêm tại www.synopsysnăm.

# # #