发表于

调查结果显示,包含Apache Struts的经过审核的代码库中的三分之一也存在导致Equifax漏洞的漏洞。

新加坡,@mcgallen#microwire信息,15年2018月2018日– Synopsys,Inc.(纳斯达克股票代码:SNPS)今天发布了Synopsys发布的《 1,100年开源安全与风险分析黑鸭》报告,该报告审查了2017年审核的XNUMX多个商业代码库的匿名数据结果。报告中涉及的行业包括汽车,大数据,网络安全,企业软件,金融服务,医疗保健,物联网(IoT),制造业和移动应用市场。

该报告强调了开放源代码采用的巨大增长,扫描的应用程序中有96%包含开放源代码组件。 数据还显示,每个代码库(257)中发现的开源组件的平均数量与去年相比增长了75%,许多应用程序包含的开源代码比专有代码更多。 令人担忧的是,所检查的代码库中有78%至少包含一个开源漏洞,每个代码库平均有64个漏洞。 在经过审核的代码库中发现的漏洞中,超过54%被认为是高风险漏洞。 XNUMX%的代码库包含一个广为宣传的漏洞,例如Heartbleed,Logjam,Freak,Drown或Poodle。

“由于现代软件和基础架构严重依赖于开源技术,因此清晰地了解正在使用的组件是公司治理的关键部分,” Synopsys的Black Duck的技术推广员Tim Mackey说。 “报告清楚地表明,随着开放源代码使用的增长,组织需要确保他们拥有检测开放源代码组件中漏洞的工具,并管理使用开放源代码可能需要的任何许可证合规性。”

在每个行业的应用程序中都发现了脆弱的开源组件。 在包含高风险开放源漏洞的应用程序中,垂直于Internet和软件基础结构的比例最高,为67%。 具有讽刺意味的是,网络安全行业的应用程序中有41%被发现具有高风险的开源漏洞,从而使垂直漏洞的风险排名第四。

此外,包含Apache Struts的经过审核的代码库中有33%也包含导致Equifax漏洞的漏洞。 该报告清楚地表明,组织正在允许越来越多的漏洞在其代码库中累积。 平均而言,审计中发现的漏洞已在近六年前披露。

“当通过Apache Struts漏洞破坏Equifax时,对开源安全管理的需求成为头版新闻,”负责OSSRA报告的黑鸭产品营销经理Evan Klein说。 “尽管该漏洞已在2017年XNUMX月披露,但许多组织显然仍未检查其Struts漏洞的应用程序。”

Based on the findings, 74 percent of the codebases audited also contained components with license conflicts, the most common of which were GPL license violations.根据调查结果,经过审核的61%的代码库还包含具有许可证冲突的组件,其中最常见的是违反GPL许可证的行为。 The percentage of applications with license conflicts within verticals ranged from the Retail and E-commerce industry's relative low of 100 percent to the high of the Telecommunications and Wireless industry—where XNUMX percent of the code scanned had some form of open source license conflict.在垂直行业中,具有许可证冲突的应用程序所占的百分比范围从零售和电子商务行业的相对较低的XNUMX%到电信和无线行业的最高水平(在该行业中,被扫描的代码XNUMX%具有某种形式的开源许可证冲突。

要下载OSSRA报告,请访问 https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

关于Synopsys软件完整性平台
Synopsys软件完整性小组可帮助组织构建安全,高质量的软件,在最大程度提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中最大限度地提高安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys
Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###