Synopsys’e göre, kod tabanlarının %84’ü bilinen en az bir açık kaynak güvenlik açığı içeriyor; bu, geçen yıla göre yaklaşık %4’lük bir artış.
Raporun bulguları, güvenlik, hukuk, risk ve geliştirme ekiplerinin açık kaynağı daha iyi anlamasına yardımcı olmak amacıyla ticari yazılımlardaki açık kaynak güvenliği, uyumluluk, lisanslama ve kod kalitesi risklerinin mevcut durumuna derinlemesine bir bakış sunuyor. güvenlik ve lisans risk ortamı.
Yazılım envanteri
Açık kaynaklı, özel ve ticari kodlardan kaynaklanan iş riskini azaltmaya yönelik ilk adım, nereden geldiğine veya nasıl edinildiğine bakılmaksızın bir işletmenin kullandığı tüm yazılımların kapsamlı bir envanterini içerir.
Kuruluşlar yalnızca bu eksiksiz envanterle – bir Yazılım Malzeme Listesi (SBOM) – Log4Shell gibi yeni güvenlik açıklamalarından kaynaklanan riskleri ele almak için bir strateji oluşturabilir.
Synopsys Software Integrity Group Genel Müdürü Jason Schmitt, “2023 OSSRA raporu bulguları, günümüzde üretilen çoğu yazılım türünün altında yatan temelin açık kaynak olduğu gerçeğinin altını çiziyor” dedi.
“Bu yılki denetimlerde ortalama açık kaynak bileşen sayısındaki %13’lük (528’den 595’e) artış, uygulamalarınızdaki tüm açık kaynak bileşenlerini, lisanslarını, sürümlerini ve yama durumlarını listeleyen kapsamlı bir SBOM uygulamanın önemini daha da güçlendiriyor. . Bu, yazılım tedarik zinciri saldırılarına karşı savunma yaparak iş riskini anlamaya ve azaltmaya yönelik temel bir stratejidir,” diye devam etti Schmitt.
Açık kaynak kullanımına genel bakış
OSSRA verilerine beş yıllık bir genel bakış, açık kaynak kullanımında çarpıcı bir büyüme olduğunu gösteriyor: Küresel salgın, eğitim kursları ve eğitmen/öğrenci etkileşimlerinin giderek çevrimiçi hale gelmesiyle %163 büyüyen EdTech sektörünün açık kaynağı benimsemesine katkıda bulundu. Açık kaynak büyümesinde büyük bir artış yaşayan diğer sektörler arasında %97’lik bir artış ve imalat ve robotikte %74’lük bir büyüme ile havacılık, havacılık, otomotiv, ulaşım ve lojistik sektörü yer alıyor.
Son beş yılda yüksek riskli güvenlik açıkları da endişe verici bir oranda arttı: 2019’dan bu yana perakende ve e-ticaret sektöründeki yüksek riskli güvenlik açıkları %557 arttı. Nispeten, toplam kodun %89’unun açık kaynak olduğu IoT sektörü, aynı dönemde yüksek riskli güvenlik açıklarında %130’luk bir artış gördü. Benzer şekilde havacılık, havacılık, otomotiv, ulaşım ve lojistik sektörlerinde de yüksek riskli kırılganlıklarda %232’lik bir artış olduğu tespit edildi.
Lisanssız açık kaynak bileşenlerinin kullanılması, kuruluşları lisanslı bileşenleri kullananlara göre telif hakkı yasasını ihlal etme konusunda daha büyük risk altına sokar: Rapor, kod tabanlarının %31’inin fark edilebilir bir lisans olmadan veya özelleştirilmiş lisanslarla açık kaynak kullandığını tespit etti. Bu, geçen yılın OSSRA raporuna göre %55’lik bir artış. Açık kaynak koduyla veya başka bir açık kaynak lisansının varyantıyla ilişkili bir lisansın bulunmaması, lisans alana istenmeyen gereksinimler getirebilir ve genellikle olası IP sorunları veya diğer yasal sonuçlar için yasal değerlendirme gerektirecektir.
Mevcut kod kalitesi ve güvenlik yamaları çoğu kod tabanına uygulanmaz: Risk değerlendirmelerini içeren denetlenmiş 1.480 kod tabanından %91’i açık kaynak bileşenlerinin eski sürümlerini içeriyordu. Bir kuruluş doğru ve güncel bir SBOM tutmadıkça, eski bir bileşen yüksek riskli bir açıktan yararlanmaya karşı savunmasız hale gelene kadar unutulabilir.
Açık kaynağı yönetme
Synopsys Software Integrity Group bünyesindeki kıdemli yazılım çözümleri yöneticisi Mike McGuire, “Modern geliştirme hızında açık kaynak riskini yönetmenin anahtarı, uygulama içeriklerinin tam görünürlüğünü sürdürmektir” dedi.
“Uygulama yaşam döngüsüne bu görünürlüğü ekleyerek işletmeler, risk çözümüne ilişkin bilinçli ve zamanında kararlar almak için gereken bilgilerle kendilerini donatabilirler. Herhangi bir türde üçüncü taraf yazılımdan yararlanan kuruluşlar, haklı olarak bu yazılımın açık kaynak içerdiğini varsaymalıdır. McGuire, bunu doğrulamak ve ilgili riskin üstesinden gelmek, bir SBOM almak kadar basit; yazılım tedarik zincirlerini güvence altına almak için gerekli adımları atan bir satıcı tarafından kolayca sağlanan bir şey,” diye sözlerini tamamladı McGuire.
Rapor, birleşme ve satın alma işlemlerinde yer alan ticari ve tescilli kod tabanlarının 1.700’den fazla denetiminin sonuçlarını inceliyor ve 17 sektördeki açık kaynak kullanımındaki eğilimleri vurguluyor.