O Relatório de Análise de Risco e Segurança de Código Aberto deste ano analisou os dados anônimos de mais de 1.200 códigos de base comerciais a partir de 2018. Segundo o relatório, o gerenciamento do risco de código aberto continua a representar um desafio significativo para a indústria.

O Synopsys Cybersecurity Research Center produz o relatório e descobriu que 96% das bases de código analisadas continham componentes de código aberto.

Estes foram encontrados com uma média de 298 componentes de código aberto por base de código. Este é um aumento de uma média de 257 encontrado em 2017. Perturbador, o centro de pesquisa encontrou mais de 16.500 vulnerabilidades ao longo de suas pesquisas, com mais de 40% das bases de código analisadas tendo sido encontradas para conter pelo menos um alto risco. vulnerabilidade de código aberto.

O maior problema não se origina do fato de que os componentes de código aberto são mais propensos a erros. Pelo contrário, isso decorre do fato de que, embora as empresas frequentemente adotem softwares de código aberto, tendem a fazer um trabalho relativamente ruim para mantê-las atualizadas.

O grupo de pesquisa resume suas descobertas da seguinte forma: "No final das contas, todo o software é vulnerável a ataques - sem exceção - e a natureza do software de código aberto é lançar luz sobre os problemas que ele tem, levando a uma maior visibilidade dos bugs e não a um aumento de bugs.

O risco de segurança é significativamente diminuído pelo aumento da visibilidade. Se você não estiver usando componentes de código-fonte aberto, estará usando componentes de código fechado - comercialmente disponíveis ou manuais - que têm a mesma probabilidade de serem vulneráveis. Exceto que você simplesmente não sabe sobre os bugs, ao contrário dos componentes de código aberto".

O grupo recomenda as seguintes ações. Primeiro, faça uso regular das ferramentas prontamente disponíveis que podem ser usadas para escanear sua base de código para identificar os componentes de código aberto e seus números de versão. Em seguida, verifique esses dados em um ou mais bancos de dados de vulnerabilidades para ter certeza de que você está protegido adequadamente. Se você não está fazendo isso, a hora é agora.

Used with permission from Article Aggregator