Synopsys, yıllık “Açık Kaynak Güvenliği ve Risk Analizi” (OSSRA) raporunun dokuzuncu baskısını açıkladı; bu rapor, bir önceki yıla kıyasla ticari kod tabanlarının neredeyse dörtte üçünü etkileyen yüksek riskli güvenlik açıklarında önemli bir artış olduğunu gösteriyor.
Bu 2024 OSSRA raporunda, Synopsys Siber Güvenlik Araştırma Merkezi (CyRC), 17 sektörü kapsayan 1.000’den fazla ticari kod tabanı denetiminden elde edilen anonimleştirilmiş verileri inceliyor. Rapor, güvenlik, geliştirme ve hukuk ekiplerine açık kaynak ortamına ilişkin kapsamlı bir genel bakış sunarak, açık kaynak yazılımların benimsenmesindeki eğilimleri, güvenlik açıklarının yaygınlığını ve yazılım lisanslama ve kod kalitesiyle ilişkili riskleri derinlemesine inceliyor.
En az bir açık kaynak güvenlik açığı içeren kod tabanlarının tutarlı bir oranına rağmen (yıllık bazda %84), 2023’te yüksek riskli güvenlik açıklarını barındıran kod tabanlarında dikkate değer bir artış var. Bu artış, ekonomik istikrarsızlık ve bunu izleyen işten çıkarmalar gibi faktörlerle bağlantılı olabilir. teknoloji sektörü, güvenlik açığı yamaları için kaynakların azalmasına yol açıyor. Veriler, 2022 ile 2023 yılları arasında aktif olarak istismar edilen, kavram kanıtı istismarlarıyla belgelenen veya uzaktan kod yürütme güvenlik açıkları olarak sınıflandırılan yüksek riskli açık kaynak güvenlik açıklarına sahip kod tabanlarının oranında %48’den %74’e bir artış olduğunu ortaya koyuyor .
“Bu yılki OSSRA raporu, çeşitli kritik sektörlerde yüksek riskli açık kaynak güvenlik açıklarında endişe verici bir artış olduğunu ve bunların siber suçlular tarafından istismar edilme riskiyle karşı karşıya kaldığını gösteriyor.” dedi Synopsys Yazılım Bütünlüğü Grubu genel müdürü Jason Schmitt. “Yazılım ekipleri üzerinde 2023’te daha hızlı hareket etme ve daha azıyla daha fazlasını yapma yönünde artan baskı, açık kaynak güvenlik açıklarındaki bu keskin artışa muhtemelen katkıda bulunmuştur. Kötü niyetli aktörler bu saldırı vektörünü fark etti; bu nedenle, açık kaynağı etkili bir şekilde tanımlayarak, takip ederek ve yöneterek uygun yazılım hijyenini sağlamak, yazılım tedarik zincirinin güvenliğini güçlendirmede önemli bir unsurdur.”
2024 OSSRA raporundaki ek önemli bulgular şunları içeriyor:
- Bir “zombi kodu” kıyameti: Kuruluşlar güncelliğini yitirmiş veya etkin olmayan açık kaynak bileşenlere bağımlıdır. Kod tabanlarının yüzde doksan biri, 10 veya daha fazla sürümü güncel olmayan bileşenler içeriyordu ve kod tabanlarının neredeyse yarısı (%49), son iki yıl içinde hiçbir geliştirme faaliyeti olmayan bileşenler içeriyordu. Rapor ayrıca kod tabanlarındaki açık kaynak güvenlik açıklarının ortalama yaşının 2,5 yaşın üzerinde olduğunu ve kod tabanlarının neredeyse dörtte birinin 10 yıldan daha eski güvenlik açıkları içerdiğini de ortaya çıkardı.
- Yüksek riskli açık kaynak güvenlik açıkları kritik sektörlere yayılıyor: Bilgisayar Donanımı ve Yarı İletkenler sektörü, yüksek riskli açık kaynak güvenlik açıklarına sahip en yüksek kod tabanı yüzdesine sahip (%88) ve onu %87 ile İmalat, Endüstriyel ve Robotik sektörü izliyor. Grubun ortalarına doğru Büyük Veri, Yapay Zeka, İş Zekası ve Makine Öğrenimi endüstrisinin kod tabanlarının %66’sı yüksek riskli güvenlik açıklarından etkilenmişti. Listenin en altında yer alan Havacılık, Havacılık, Otomotiv, Taşımacılık ve Lojistik sektörü kod tabanlarının üçte birinde (%33) hala yüksek riskli güvenlik açıklarına sahip.
- Açık kaynak lisansı zorlukları devam ediyor: Lisans uyumluluğu, etkili yazılım tedarik zinciri yönetiminin önemli bir yönüdür ancak rapor, kod tabanlarının yarısından fazlasının (%53) açık kaynak lisans çakışmaları içerdiğini ve kod tabanlarının %31’inin fark edilebilir bir lisansı olmayan veya özelleştirilmiş bir lisansı olmayan kod kullandığını ortaya çıkardı. . Bir kez daha Bilgisayar Donanımı ve Yarı İletkenler sektörü, lisans çakışmaları içeren kod tabanları yüzdesinde %92 ile en yüksek sırada yer aldı ve bunu %81 ile Üretim, Endüstriyel ve Robotik sektörü izledi. Yazılımdaki tek bir uyumlu olmayan lisans, kazançlı fikri mülkiyet kaybına, zaman alıcı iyileştirmelere ve ürünlerin pazara sunulmasında gecikmelere neden olabilir.
- En önemli 10 güvenlik açığından sekizi ortak bir zayıflık türüne dayanıyor: Bu araştırmada en sık gözlemlenen açık kaynak güvenlik açıklarının çoğunluğu Uygunsuz Nötralizasyon zayıflıkları (CWE-707) olarak sınıflandırılmıştır. Bu zayıflık türü, kötüye kullanılması durumunda oldukça ciddi olabilecek çeşitli siteler arası komut dosyası oluşturma biçimlerini içerir.
2024 OSSRA bulguları hakkında daha fazla bilgi edinmek için raporun bir kopyasını indirin, blog yazısını okuyun veya 28 Mart web seminerine kaydolun.