Đăng trên

Các phát hiện cho thấy một phần ba cơ sở mã đã được kiểm toán có chứa Apache Struts cũng có lỗ hổng dẫn đến vi phạm Equifax

Singapore, @mcgallen #microwireinfo, ngày 15 tháng 2018 năm 2018 - Synopsys, Inc. (Nasdaq: SNPS) hôm nay đã phát hành báo cáo Phân tích Rủi ro và Bảo mật Nguồn mở 1,100 (OSSRA) của Black Duck by Synopsys, kiểm tra các phát hiện từ dữ liệu ẩn danh của hơn 2017 cơ sở mã thương mại được kiểm toán vào năm XNUMX Các ngành được trình bày trong báo cáo bao gồm ô tô, dữ liệu lớn, an ninh mạng, phần mềm doanh nghiệp, dịch vụ tài chính, chăm sóc sức khỏe, Internet of Things (IoT), sản xuất và thị trường ứng dụng di động.

Báo cáo nêu bật sự gia tăng lớn trong việc áp dụng mã nguồn mở, với 96% ứng dụng được quét có chứa các thành phần mã nguồn mở. Dữ liệu cũng cho thấy số lượng thành phần nguồn mở trung bình được tìm thấy trên mỗi cơ sở mã (257) đã tăng 75 phần trăm so với năm trước, với nhiều ứng dụng chứa nhiều mã nguồn mở hơn mã độc quyền. Điều đáng lo ngại là 78% cơ sở mã được kiểm tra chứa ít nhất một lỗ hổng mã nguồn mở, với trung bình 64 lỗ hổng trên mỗi cơ sở mã. Hơn 54% lỗ hổng được tìm thấy trong các cơ sở mã đã được kiểm toán được coi là lỗ hổng có nguy cơ cao. XNUMX% cơ sở mã chứa lỗ hổng công khai cao như Heartbleed, Logjam, Freak, Drown hoặc Poodle.

Tim Mackey, nhà truyền bá kỹ thuật tại Black Duck by Synopsys, cho biết: “Vì phần mềm và cơ sở hạ tầng hiện đại phụ thuộc nhiều vào công nghệ mã nguồn mở, nên có một cái nhìn rõ ràng về các thành phần được sử dụng là một phần quan trọng trong quản trị doanh nghiệp. “Báo cáo chứng minh rõ ràng rằng với sự phát triển trong việc sử dụng mã nguồn mở, các tổ chức cần đảm bảo rằng họ có các công cụ để phát hiện các lỗ hổng trong các thành phần nguồn mở và quản lý bất kỳ sự tuân thủ giấy phép nào mà việc sử dụng mã nguồn mở của họ có thể yêu cầu.”

Các thành phần nguồn mở dễ bị tổn thương đã được tìm thấy trong các ứng dụng trong mọi ngành. Ngành dọc Internet và Cơ sở hạ tầng phần mềm có tỷ lệ cao nhất - 67% - các ứng dụng chứa các lỗ hổng nguồn mở có nguy cơ cao. Trớ trêu thay, 41% các ứng dụng trong ngành An ninh mạng được phát hiện có lỗ hổng mã nguồn mở rủi ro cao, khiến ngành này có nguy cơ cao thứ tư.

Ngoài ra, 33% cơ sở mã đã được kiểm toán có chứa Apache Struts cũng chứa lỗ hổng bảo mật dẫn đến vi phạm Equifax. Báo cáo cho thấy rõ ràng rằng các tổ chức đang cho phép ngày càng nhiều lỗ hổng tích lũy trong cơ sở mã của họ. Trung bình, các lỗ hổng được xác định trong các cuộc kiểm toán đã được tiết lộ gần sáu năm trước.

Evan Klein, giám đốc tiếp thị sản phẩm Black Duck chịu trách nhiệm cho báo cáo của OSSRA cho biết: “Khi Equifax bị tấn công bởi lỗ hổng Apache Struts, nhu cầu quản lý bảo mật nguồn mở đã trở thành tin tức hàng đầu”. “Tuy nhiên, ngay cả khi nó được tiết lộ vào tháng 2017 năm XNUMX, nhiều tổ chức dường như vẫn chưa kiểm tra các ứng dụng của họ để tìm lỗ hổng Struts.”

Dựa trên những phát hiện, 74% cơ sở mã được kiểm toán cũng chứa các thành phần có xung đột giấy phép, trong đó phổ biến nhất là vi phạm giấy phép GPL. Tỷ lệ ứng dụng có xung đột giấy phép trong ngành dọc dao động từ mức tương đối thấp của ngành Bán lẻ và Thương mại điện tử là 61% đến mức cao của ngành Viễn thông và Không dây — nơi mà 100% mã được quét có một số dạng xung đột giấy phép nguồn mở.

Để tải xuống báo cáo OSSRA, hãy truy cập https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

Giới thiệu về Nền tảng toàn vẹn phần mềm Synopsys
Synopsys Software Integrity Group giúp các tổ chức xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và các giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và lỗi trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối đa hóa tính bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại www.synopsys.com/software.

Giới thiệu về Synopsys
Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #