Şimdi 8’indeinci sürümü, Synopsys “Açık Kaynak Güvenlik ve Risk Analizi” (OSSRA) raporu bu hafta başlarında kullanıma sunuldu. 2023 OSSRA raporu, birleşme ve satın alma işlemlerinde yer alan ticari ve tescilli kod tabanlarının 1.700’den fazla denetiminin sonuçlarını inceliyor ve 17 sektördeki açık kaynak kullanımındaki eğilimleri vurguluyor.
Rapor, güvenlik, hukuk, risk ve geliştirme ekiplerinin açık kaynak güvenliğini ve lisansını daha iyi anlamasına yardımcı olmak amacıyla ticari yazılımlardaki açık kaynak güvenliği, uyumluluk, lisanslama ve kod kalitesi risklerinin mevcut durumuna derinlemesine bir bakış sunuyor. risk manzarası. Bu yılın bulguları, kod tabanlarının ezici bir çoğunluğunun (%84) bilinen en az bir açık kaynak güvenlik açığı içerdiğini ortaya çıkardı; bu, geçen yıla göre yaklaşık %4’lük bir artış.
Açık kaynaklı, özel ve ticari kodlardan kaynaklanan iş riskini azaltmaya yönelik ilk adım, nereden geldiğine veya nasıl edinildiğine bakılmaksızın bir işletmenin kullandığı tüm yazılımların kapsamlı bir envanterini içerir. Kuruluşlar yalnızca bu eksiksiz envanterle – bir Yazılım Malzeme Listesi (SBOM) – Log4Shell gibi yeni güvenlik açıklamalarından kaynaklanan riskleri ele almak için bir strateji oluşturabilir.
Synopsys Software Integrity Group genel müdürü Jason Schmitt, “2023 OSSRA raporu bulguları, günümüzde üretilen çoğu yazılım türünün altında yatan temelin açık kaynak olduğu gerçeğinin altını çiziyor” dedi. “Bu yılki denetimlerde ortalama açık kaynak bileşen sayısındaki %13’lük (528’den 595’e) artış, uygulamalarınızdaki tüm açık kaynak bileşenlerinin yanı sıra bunların lisanslarını, sürümlerini, ve yama durumu. Bu, yazılım tedarik zinciri saldırılarına karşı savunma yaparak iş riskini anlamaya ve azaltmaya yönelik temel bir stratejidir.”
OSSRA verilerine beş yıllık bir genel bakış, açık kaynak kullanımında çarpıcı bir büyüme olduğunu gösteriyor: Küresel salgın, eğitim kursları ve eğitmen/öğrenci etkileşimlerinin giderek çevrimiçi hale gelmesiyle %163 büyüyen EdTech sektörünün açık kaynağı benimsemesine katkıda bulundu. Açık kaynak büyümesinde büyük bir artış yaşayan diğer sektörler arasında %97’lik bir artış ve Üretim ve Robotik’te %74’lük bir büyüme ile Havacılık, Havacılık, Otomotiv, Taşımacılık ve Lojistik sektörü yer alıyor.
2019’dan bu yana Perakende ve e-Ticaret sektöründeki yüksek riskli güvenlik açıkları %557 arttı. Karşılaştırmalı olarak, toplam kodun %89’unun açık kaynak olduğu Nesnelerin İnterneti (IoT) sektörü, aynı dönemde yüksek riskli güvenlik açıklarında %130’luk bir artış gördü. Benzer şekilde Havacılık, Havacılık, Otomotiv, Taşımacılık ve Lojistik sektörlerinde de yüksek riskli kırılganlıklarda %232’lik bir artış olduğu tespit edildi.
Rapor, kod tabanlarının %31’inin fark edilebilir bir lisans olmadan veya özelleştirilmiş lisanslarla açık kaynak kullandığını tespit etti. Bu, geçen yılın OSSRA raporuna göre %55’lik bir artış. Açık kaynak koduyla veya başka bir açık kaynak lisansının varyantıyla ilişkili bir lisansın bulunmaması, lisans alana istenmeyen gereksinimler getirebilir ve genellikle olası IP sorunları veya diğer yasal sonuçlar için yasal değerlendirme gerektirecektir.
Risk değerlendirmelerini içeren denetlenmiş 1.480 kod tabanından %91’i açık kaynak bileşenlerinin eski sürümlerini içeriyordu. Bir kuruluş doğru ve güncel bir SBOM tutmadıkça, eski bir bileşen yüksek riskli bir açıktan yararlanmaya karşı savunmasız hale gelene kadar unutulabilir.
Synopsys Software Integrity Group bünyesindeki kıdemli yazılım çözümleri yöneticisi Mike McGuire, “Modern geliştirme hızında açık kaynak riskini yönetmenin anahtarı, uygulama içeriklerinin tam görünürlüğünü sürdürmektir” dedi. “Uygulama yaşam döngüsüne bu görünürlüğü ekleyerek işletmeler, risk çözümüne ilişkin bilinçli ve zamanında kararlar almak için gereken bilgilerle kendilerini donatabilirler. Herhangi bir türde üçüncü taraf yazılımdan yararlanan kuruluşlar, haklı olarak bu yazılımın açık kaynak içerdiğini varsaymalıdır. Bunu doğrulamak ve ilgili riskin üstesinden gelmek, bir SBOM almak kadar basit; yazılım tedarik zincirlerini güvence altına almak için gerekli adımları atan bir satıcı tarafından kolayca sağlanan bir şey.”