Đăng trên

Singapore, @mcgallen #microwirethông tin, ngày 8 tháng 2019 năm XNUMX - Tóm tắt nội dung. (Nasdaq: SNPS) hôm nay đã phát hành Báo cáo Phân tích Rủi ro và An ninh Nguồn Mở (OSSRA) năm 2019. Báo cáo do Trung tâm nghiên cứu an ninh mạng Synopsys (CyRC), kiểm tra kết quả của hơn 1,200 lần kiểm tra các ứng dụng và thư viện thương mại, được thực hiện bởi nhóm Dịch vụ Kiểm toán Vịt đen. Báo cáo nêu bật các xu hướng và mô hình sử dụng nguồn mở, cũng như sự phổ biến của cả các thành phần nguồn mở không an toàn và xung đột giấy phép.

Như đã trình bày trong báo cáo, nhiều xu hướng sử dụng mã nguồn mở đã đặt ra những thách thức về quản lý rủi ro cho các tổ chức trong những năm trước vẫn tồn tại cho đến ngày nay. Tuy nhiên, dữ liệu cũng cho thấy rằng một điểm uốn đã đạt đến, với việc nhiều tổ chức đang cải thiện khả năng quản lý rủi ro nguồn mở, có thể do nhận thức được nâng cao và sự trưởng thành của các giải pháp phân tích thành phần phần mềm thương mại.

“Mã nguồn mở ngày càng đóng một vai trò quan trọng trong việc triển khai và phát triển phần mềm hiện đại, nhưng để nhận ra giá trị của nó, các tổ chức cần hiểu và quản lý cách nó tác động đến tình trạng rủi ro của họ từ góc độ bảo mật và tuân thủ giấy phép,” Tim Mackey, chiến lược gia bảo mật chính của Trung tâm Nghiên cứu An ninh mạng Synopsys. “Báo cáo OSSRA 2019 cung cấp một cái nhìn tổng quan về trạng thái quản lý rủi ro nguồn mở trong các ứng dụng thương mại. Nó cho thấy vẫn còn những thách thức đáng kể, với phần lớn các ứng dụng chứa lỗ hổng bảo mật mã nguồn mở và xung đột giấy phép. Nhưng nó cũng nhấn mạnh rằng những thách thức này có thể được giải quyết, vì số lượng lỗ hổng mã nguồn mở và xung đột giấy phép đã giảm so với năm trước ”.

Một số xu hướng rủi ro nguồn mở đáng chú ý nhất được xác định trong báo cáo OSSRA 2019 bao gồm:

  • Đã có một sự gia tăng đáng kể trong việc áp dụng mã nguồn mở. Chín mươi sáu phần trăm cơ sở mã được kiểm toán vào năm 2018 chứa các thành phần nguồn mở, với trung bình 298 thành phần nguồn mở trên mỗi cơ sở mã so với 257 vào năm 2017.
  • Xung đột giấy phép nguồn mở có thể gây rủi ro cho tài sản trí tuệ. Sáu mươi tám phần trăm cơ sở mã chứa một số dạng xung đột giấy phép nguồn mở và 38% chứa các thành phần nguồn mở không có giấy phép nhận dạng.
  • Việc sử dụng các thành phần 'bị bỏ rơi' là phổ biến. XNUMX% cơ sở mã có chứa các thành phần đã lỗi thời hơn bốn năm hoặc không có sự phát triển trong hai năm qua. Nếu một thành phần không hoạt động và không ai duy trì nó, điều đó có nghĩa là không ai đang giải quyết các lỗ hổng tiềm ẩn của nó.
  • Nhiều tổ chức đang không vá hoặc cập nhật các thành phần nguồn mở của họ. Độ tuổi trung bình của các lỗ hổng được xác định trong Kiểm toán Vịt đen năm 2018 là 6.6 tuổi, cao hơn một chút so với năm 2017 — cho thấy nỗ lực khắc phục chưa được cải thiện đáng kể. Bốn mươi ba phần trăm cơ sở mã được quét trong năm 2018 chứa các lỗ hổng trên 10 năm tuổi. Khi được xem xét trong bối cảnh Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia bổ sung hơn 16,500 lỗ hổng bảo mật mới vào năm 2018, các quy trình vá lỗi rõ ràng của nó cần phải mở rộng quy mô để thích ứng với sự gia tăng tiết lộ.
  • Không phải tất cả các lỗ hổng đều được tạo ra như nhau, nhưng nhiều tổ chức thậm chí không giải quyết những lỗ hổng có nguy cơ cao nhất. Hơn 40% cơ sở mã chứa ít nhất một lỗ hổng mã nguồn mở có nguy cơ cao.

Báo cáo lưu ý rằng việc sử dụng phần mềm nguồn mở không phải là một vấn đề tự thân và trên thực tế, là điều cần thiết cho sự đổi mới phần mềm. Nhưng không chủ động xác định và quản lý bất kỳ rủi ro bảo mật và giấy phép nào liên quan đến việc sử dụng các thành phần nguồn mở có thể rất nguy hiểm. Bất chấp các yếu tố rủi ro được xác định, dữ liệu OSSRA năm 2019 cho thấy rằng, sau khi vi phạm Equifax, sự gia tăng nhận thức về rủi ro nguồn mở và sự trưởng thành của các giải pháp phân tích thành phần phần mềm thương mại đã dẫn đến tiến bộ:

  • Các tổ chức đang ngày càng quản lý tốt hơn các lỗ hổng bảo mật nguồn mở. Sáu mươi phần trăm cơ sở mã được kiểm toán vào năm 2018 chứa ít nhất một lỗ hổng bảo mật — vẫn đáng kể, nhưng tốt hơn nhiều so với con số 78% của năm 2017.
  • Nhìn chung, việc tuân thủ giấy phép nguồn mở cũng đã được cải thiện. Sáu mươi tám phần trăm cơ sở mã được kiểm toán năm 2018 chứa các thành phần có xung đột giấy phép, so với 74% vào năm 2017.

Để tìm hiểu thêm, hãy tải xuống bản sao của Báo cáo OSSRA 2019.

Giới thiệu về Nền tảng toàn vẹn phần mềm Synopsys 
Synopsys Software Integrity Group giúp các tổ chức xây dựng phần mềm an toàn, chất lượng cao, giảm thiểu rủi ro trong khi tối đa hóa tốc độ và năng suất. Synopsys, công ty hàng đầu được công nhận về bảo mật ứng dụng, cung cấp phân tích tĩnh, phân tích thành phần phần mềm và giải pháp phân tích động cho phép các nhóm nhanh chóng tìm và sửa các lỗ hổng và khiếm khuyết trong mã độc quyền, các thành phần nguồn mở và hành vi ứng dụng. Với sự kết hợp của các công cụ, dịch vụ và chuyên môn hàng đầu trong ngành, chỉ Synopsys mới giúp các tổ chức tối ưu hóa bảo mật và chất lượng trong DevSecOps và trong suốt vòng đời phát triển phần mềm. Tìm hiểu thêm tại http://www.synopsys.com/software.

Giới thiệu về Synopsys
Synopsys, Inc. (Nasdaq: SNPS) là đối tác từ Silicon to Software ™ cho các công ty sáng tạo đang phát triển các sản phẩm điện tử và ứng dụng phần mềm mà chúng tôi tin cậy hàng ngày. Là công ty phần mềm lớn thứ 15 thế giới, Synopsys có lịch sử lâu đời là công ty dẫn đầu toàn cầu trong lĩnh vực tự động hóa thiết kế điện tử (EDA) và IP bán dẫn, đồng thời cũng đang vươn lên dẫn đầu về các giải pháp chất lượng và bảo mật phần mềm. Cho dù bạn là nhà thiết kế hệ thống trên chip (SoC) tạo ra chất bán dẫn tiên tiến hay nhà phát triển phần mềm viết các ứng dụng yêu cầu chất lượng và bảo mật cao nhất, Synopsys đều có các giải pháp cần thiết để cung cấp các sản phẩm sáng tạo, chất lượng cao và an toàn. Tìm hiểu thêm tại www.synopsys.com.

# # #