發佈於

調查結果顯示,包含Apache Struts的經審核代碼庫中的三分之一也存在導致Equifax漏洞的漏洞。

新加坡,@mcgallen#microwire信息,15年2018月2018日– Synopsys,Inc.(納斯達克股票代碼:SNPS)今天發布了Synopsys發布的《 1,100年開源安全與風險分析黑鴨》報告,該報告審查了2017年審核的XNUMX多個商業代碼庫的匿名數據結果。報告中涉及的行業包括汽車,大數據,網絡安全,企業軟件,金融服務,醫療保健,物聯網(IoT),製造業和移動應用市場。

該報告強調了開放源代碼採用的巨大增長,掃描的應用程序中有96%包含開放源代碼組件。 數據還顯示,每個代碼庫(257)中發現的開源組件的平均數量與去年相比增長了75%,許多應用程序包含的開源代碼比專有代碼更多。 令人擔憂的是,所檢查的代碼庫中有78%至少包含一個開源漏洞,每個代碼庫平均有64個漏洞。 在經過審核的代碼庫中發現的漏洞中,超過54%被認為是高風險漏洞。 XNUMX%的代碼庫包含一個廣為宣傳的漏洞,例如Heartbleed,Logjam,Freak,Drown或Poodle。

“由於現代軟件和基礎架構嚴重依賴於開源技術,因此清晰地了解正在使用的組件是公司治理的關鍵部分,” Synopsys的Black Duck的技術推廣員Tim Mackey說。 “報告清楚地表明,隨著開放源代碼使用的增長,組織需要確保他們擁有檢測開放源代碼組件中漏洞的工具,並管理使用開放源代碼可能需要的許可證合規性。”

在每個行業的應用程序中都發現了脆弱的開源組件。 在包含高風險開放源漏洞的應用程序中,垂直於Internet和軟件基礎結構的比例最高,為67%。 具有諷刺意味的是,網絡安全行業的應用程序中有41%被發現具有高風險的開源漏洞,從而使垂直漏洞的風險排名第四。

此外,包含Apache Struts的經過審核的代碼庫中有33%也包含導致Equifax漏洞的漏洞。 該報告清楚地表明,組織正在允許越來越多的漏洞在其代碼庫中累積。 平均而言,審計中發現的漏洞已在近六年前披露。

“當通過Apache Struts漏洞破壞Equifax時,對開源安全管理的需求成為頭版新聞,”負責OSSRA報告的黑鴨產品營銷經理Evan Klein說。 “儘管該漏洞已在2017年XNUMX月披露,但許多組織顯然仍未檢查其Struts漏洞的應用程序。”

Based on the findings, 74 percent of the codebases audited also contained components with license conflicts, the most common of which were GPL license violations.根據調查結果,經過審核的61%的代碼庫還包含具有許可證衝突的組件,其中最常見的是違反GPL許可證的行為。 The percentage of applications with license conflicts within verticals ranged from the Retail and E-commerce industry's relative low of 100 percent to the high of the Telecommunications and Wireless industry—where XNUMX percent of the code scanned had some form of open source license conflict.在垂直行業中,具有許可證衝突的應用程序所佔的百分比範圍從零售和電子商務行業的相對較低的XNUMX%到電信和無線行業的最高水平(在該行業中,被掃描的代碼XNUMX%具有某種形式的開源許可證衝突。

要下載OSSRA報告,請訪問 https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

關於Synopsys軟件完整性平台
Synopsys軟件完整性小組可幫助組織構建安全的高質量軟件,在最大程度地提高速度和生產力的同時最大程度地降低風險。 Synopsys是應用程序安全性領域公認的領導者,它提供靜態分析,軟件組成分析和動態分析解決方案,使團隊可以快速查找和修復專有代碼,開放源代碼組件和應用程序行為中的漏洞和缺陷。 結合行業領先的工具,服務和專業知識,只有Synopsys才能幫助組織在DevSecOps和整個軟件開發生命週期中最大限度地提高安全性和質量。 了解更多 www.synopsys.com/software.

關於新思科技
Synopsys公司(納斯達克股票代碼:SNPS)是Silicon to Software™的合作夥伴,為創新公司開發我們每天依賴的電子產品和軟件應用程序。 作為全球第15大軟件公司,Synopsys在電子設計自動化(EDA)和半導體IP領域處於全球領導者的悠久歷史,並且在軟件安全性和質量解決方案方面的領導地位也在不斷提高。 無論您是創建高級半導體的片上系統(SoC)設計人員,還是編寫要求最高安全性和質量的應用程序的軟件開發人員,Synopsys都能提供交付創新,高質量,安全產品所需的解決方案。 了解更多 www.synopsys.com.

###