編者簡介:儘管全球危機促使政府和企業更加重視成本控制,同時也解決了大流行的後果,但開源軟件(OSS)的採用已變得非常重要。 隨著OSS在最終用戶級別以及SDLC(軟件開發生命週期)階段的採用,對代碼完整性和安全性的需求已變得至關重要。 但是,是否可以快速修補OSS組件? 供應商的版本如下。

Synopsys研究表明開源安全性是最重要的,但修補速度太慢

對1,500名IT專業人員的全球調查發現,全球40%的受訪者為解決開源漏洞而中斷了交付計劃

新加坡,@mcgallen#microwire資訊,9年2020月XNUMX日 - 新思科技有限公司 (納斯達克股票代碼: SNPS)今天發布了該報告, 2020年DevSecOps實踐和開源管理。 由產生 新思網絡安全研究中心 (CyRC),該報告重點介紹了對1,500名從事網絡安全,軟件開發,軟件工程和Web開發的IT專業人員的調查結果。 該報告探討了全球組織用於解決開源漏洞管理的策略以及商業代碼中過時或過時的開源組件日益嚴重的問題。

開源在當今的軟件生態系統中扮演著至關重要的角色。 絕大多數現代代碼庫都包含開源組件,而開源通常佔整個代碼的70%或更多。 然而,與開放源使用的增長並行的是不受管理的開放源帶來的日益嚴重的安全風險。 實際上,根據 2020 OSSRA報告Synopsys審核的代碼庫中,有75%包含具有已知安全漏洞的開源組件。 為了應對這種情況,調查的受訪者引用了已知的安全漏洞作為審核新的開源組件時的首要標準。

“很明顯,未修補的漏洞是導致開發人員痛苦的主要原因,並且最終是業務風險。” Synopsys網絡安全研究中心首席安全策略師Tim Mackey說。 “《 2020年DevSecOps實踐和開源管理》報告強調了組織如何努力有效地跟踪和管理其開源風險。”

Mackey繼續說道:“超過一半的人(佔51%)說,他們需要兩到三個星期才能應用開放源代碼補丁。” “這可能與以下事實有關:只有38%的人使用自動軟件組成分析(SCA)工具來確定使用了哪些開源組件以及何時發布更新。 其餘的組織可能正在使用手動流程來管理開源程序,這些流程可能減慢開發和運營團隊的速度,並迫使他們在平均每天發布數十個新安全披露的環境中追趕安全。”

“ 2020年DevSecOps實踐和開源管理”報告中的其他值得注意的發現包括:

  • DevSecOps在全球範圍內發展迅速。 總計63%的受訪者表示,他們正在將一些DevSecOps活動納入其軟件開發管道中。
  • 沒有普遍採用的應用程序安全測試(AST)工具。 正如對調查問題的回答所表明的那樣,不乏應用程序安全性測試工具和技術。 但是,即使採用率最高的AST工具仍然只有不到一半的受訪者使用。
  • 媒體在開源風險管理中起著重要作用。 XNUMX%的受訪者指出,媒體報導促使他們的組織對開放源代碼的使用採取更嚴格的控制措施。
  • XNUMX%的受訪者在他們使用的開源組件時代定義了標準。 開源社區中越來越多的問題是項目的可持續性。 2020年 Synopsys研究 研究表明,91年審核的代碼庫中有2019%包含開源組件,這些組件要么已過期四年以上,要么在過去兩年中沒有開發活動。 部署過時的代碼會增加安全風險,包括劫持開源組件的威脅。 這種情況發生在2018年,當時事件流組件被劫持以針對Copay賬戶中的比特幣。

要了解更多信息,請下載 2020年DevSecOps實踐和開源管理 報告。

關於Synopsys軟件完整性小組

Synopsys軟件完整性小組可幫助開發團隊構建安全,高質量的軟件,在最大程度提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開源組件和應用程序行為中的漏洞和缺陷。 借助行業領先的工具,服務和專業知識的組合,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中優化安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技

Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###