<
>

2020年新闻稿

2020年12月10日

Synopsys研究显示面向IT专业人员的开源安全顶级产品

新思科技有限公司 发布了报告, 2020年DevSecOps实践和开源管理 。 由产生 Synopsys网络安全研究中心 (CyRC),该报告重点介绍了对1,500名从事网络安全,软件开发,软件工程和Web开发的IT专业人员的调查结果。该报告探讨了全球组织用于解决开源漏洞管理的策略以及商业代码中过时或过时的开源组件日益严重的问题。
 
开源在当今的软件生态系统中扮演着至关重要的角色。绝大多数现代代码库都包含开源组件,而开源通常占整个代码的70%或更多。然而,与开放源使用的增长并行的是不受管理的开放源带来的日益严重的安全风险。实际上,根据Synopsys审核的代码库,有75%包含具有已知安全漏洞的开源组件,根据 2020 OSSRA报告 。为了应对这种情况,调查的受访者引用了已知的安全漏洞作为审核新的开源组件时的首要标准。
 
Synopsys网络安全研究中心首席安全策略师Tim Mackey说:“很明显,未修补的漏洞是导致开发人员痛苦以及最终导致业务风险的主要来源。“ 2020年的DevSecOps实践和开放源代码管理”报告重点介绍了组织正在努力有效地跟踪和管理其开源风险。”
 
Mackey继续说道:“超过一半的人(占51%)说,他们需要两到三个星期才能应用开放源代码补丁。” “这可能与以下事实有关:只有38%的人使用自动软件组成分析(SCA)工具来确定使用了哪些开源组件以及何时发布更新。其余的组织可能正在使用手动流程来管理开源程序,这些流程可能减慢开发和运营团队的速度,并迫使他们在平均每天发布数十个新安全披露的环境中追赶安全。”
 
“ 2020年DevSecOps实践和开源管理”报告中的其他值得注意的发现包括:

  • DevSecOps在全球范围内发展迅速。总计63%的受访者表示,他们正在将一些DevSecOps活动纳入其软件开发管道中。

  • 没有普遍采用的应用程序安全测试(AST)工具。正如对调查问题的回答所表明的那样,不乏应用程序安全性测试工具和技术。但是,即使采用率最高的AST工具仍然只有不到一半的受访者使用。

  • 媒体在开源风险管理中起着重要作用。 46%的受访者指出,媒体报道促使他们的组织对开放源代码的使用采取更严格的控制措施。

  • 47%的受访者在他们使用的开源组件时代定义了标准。开源社区中一个日益严重的问题是项目的可持续性。 2020年 Synopsys研究 研究表明,2019年审核的代码库中有91%包含开源组件,这些组件要么已过期四年以上,要么在过去两年中没有开发活动。部署过时的代码时,安全风险会增加,包括劫持开源组件的威胁。这种情况发生在2018年,当时事件流组件被劫持以针对Copay账户中的比特币。