Synopsys: 84% кодовых баз содержат уязвимости с открытым исходным кодом

Источник · Перевод автора

Согласно новому отчету Synopsys, компании по разработке микросхем, стоящей за платформой управления безопасностью с открытым исходным кодом Black Duck, количество кодовых баз, содержащих хотя бы одну уязвимость с открытым исходным кодом, увеличилось на девять процентных пунктов в 2020 году.

В шестом отчете по безопасности и анализу рисков с открытым исходным кодом (OSSRA, Open Source Security and Risk Analysis) Synopsys сообщила, что предоставила «подробный снимок рисков безопасности, соответствия, лицензирования и качества кода с открытым исходным кодом в коммерческом программном обеспечении», соблюдая данные 1546 коммерческих баз кода По результатам сканирования Black Duck в 2020 году 84% содержали хотя бы одну уязвимость с открытым исходным кодом – по сравнению с 75% в прошлогоднем отчете.

Большинство современного программного обеспечения в некоторой степени полагается на программное обеспечение с открытым исходным кодом, так как оно экономит компаниям время и ресурсы, необходимые для внутренней разработки и поддержки каждого компонента. Black Duck, которую Synopsis купила в 2017 году за 547 миллионов долларов, является одной из нескольких платформ анализа состава программного обеспечения (SCA, oftware composition analysis), в том числе Sonatype, которая была приобретена Vista Equity Partners в 2019 году; Snyk, которая недавно завершила раунд финансирования в размере 300 миллионов долларов; и WhiteSource, который на прошлой неделе собрал 75 миллионов долларов. Компании используют эти платформы, чтобы идентифицировать каждый компонент с открытым исходным кодом в своем стеке, чтобы выявить уязвимости и риски соблюдения лицензионных требований. И именно эти «аудиты» с открытым исходным кодом Synopsys и Black Duck в первую очередь используют в качестве основы для своего годового отчета OSSRA.

1546 кодовых баз, составляющих отчет за этот год, охватывают 17 отраслей, включая аэрокосмическую, финансовую, IoT и телекоммуникационную, при этом Synopsys пришла к выводу, что 98% кодовых баз содержат открытый исходный код. Это незначительно меньше, чем в прошлом году, когда было 99%, но следует ожидать постепенных отклонений – суть в том, что большинство приложений по-прежнему полагаются на компоненты с открытым исходным кодом.

Так почему же уязвимости распространяются с такой скоростью? Тим Макки (Tim Mackey), главный стратег по безопасности в Исследовательском центре кибербезопасности Synopsys (CyRC), считает, что, хотя рост уязвимостей связан с некоторыми сложностями, для большинства компаний проблема в основном связана с масштабом.

«Если вы посмотрите на среднее количество компонентов в приложении за последние три года, оно увеличилось с 298 до 445, а теперь и до 528», – сказал он VentureBeat. «Если кто-то разработал свои процессы обновления и исправления для управления 300 компонентами на каждое приложение в 2018 году, они, вероятно, не ожидали, что их использование вырастет так сильно за два года. Затем, если вы наложите эти данные на то, что US-CERT (Агентство по кибербезопасности и инфраструктуре США) сообщало в среднем о чуть более 48 новых CVE (распространенных уязвимостях и уязвимостях) каждый день в 2020 году, не отставать от установки исправлений – огромная проблема».

В основе проблемы лежит огромное количество программных пакетов с открытым исходным кодом. Появилось множество инструментов, которые помогут разработчикам и компаниям разобраться в мире открытого исходного кода. Openbase, например, хочет быть Yelp для пакетов программного обеспечения с открытым исходным кодом. Между тем Stack Builder от OpenLogic помогает предприятиям выбрать правильную комбинацию программного обеспечения с открытым исходным кодом для своих нужд. Индекс открытого исходного кода Two Sigma выделяет самые популярные проекты GitHub на данный момент.

Но хотя выбор правильного пакета важен, не менее важно быть в курсе обновлений. Короче говоря, разработчикам часто трудно оставаться на вершине своего стека с открытым исходным кодом и помнить, откуда они взяли свои компоненты с открытым исходным кодом, когда пришло время загружать исправления. Это область, в которой такие компании, как Synopsys, занимают свою нишу.

Код высокого риска

Широкое отраслевое мнение сводится к тому, что уязвимости в открытом исходном коде изобилуют, и злоумышленники одержимы их использованием. В своем отчете State of Software Security: Open Source Edition за прошлый год компания Veracode, занимающаяся безопасностью приложений, отметила, что 70% приложений содержат бреши в безопасности в библиотеке с открытым исходным кодом, в то время как Sonatype недавно сообщила о 430% росте атак, направленных на цепочки поставок программного обеспечения с открытым исходным кодом .

Но не все уязвимости одинаковы, и многие из них имеют ограниченные возможности для использования хакерами. В интервью VentureBeat на этой неделе генеральный директор и соучредитель WhiteSource Рами Сасс (Rami Sass) сказал, что исследование компании показало, что только «от 15% до 30% уязвимостей эффективны – большинство уязвимостей с открытым исходным кодом не вызываются проприетарным кодом».

Это означает, что важно различать неизбежно опасные уязвимости и незначительные недостатки. Имея это в виду, в последнем отчете Synopsys было обнаружено, что процент кодовых баз, содержащих уязвимости с открытым исходным кодом высокого риска, вырос на 11 процентных пунктов до 60% в 2020 году, причем «высокий риск» определяется как уязвимость, которая активно эксплуатируется, «задокументирована доказательство концепции »или был« классифицирован как уязвимость удаленного выполнения кода».

Более того, несколько из 10 основных уязвимостей с открытым исходным кодом, выявленных в отчете за 2019 год, не только снова подняли голову в 2020 году, но и продемонстрировали значительный процентный рост – это, по словам Макки, стало самым большим сюрпризом, который компания увидела в своем аудите.

«Обычно мы ожидаем увидеть снижение подверженности риску CVE с течением времени», – сказал он. «В конце концов, как только сообщается об уязвимости, большинство команд захотят применить исправление».

Две основные уязвимости были связаны с jQuery, и обе показали двузначный рост из года в год.

Лицензионные конфликты

Вдали от области уязвимостей последний отчет OSSRA показал, что количество кодовых баз, содержащих конфликты лицензий с открытым исходным кодом, незначительно снизилось в годовом исчислении с 67% до 65%, причем почти три четверти из них относятся к стандартной общественной лицензии GNU.

Между тем, 26% кодовых баз использовали открытый исходный код без лицензии или с индивидуальной лицензией. Это важно, потому что индивидуальные лицензии с открытым исходным кодом часто необходимо оценивать на предмет потенциальных проблем с интеллектуальной собственностью или юридических неопределенностей.

В другом месте отчет показал, что 91% кодовых баз содержали зависимости с открытым исходным кодом с нулевой активностью в разработке за последние два года, по сравнению с 88% в предыдущем году. Возможно, это не проблема, но это означает, что подавляющее большинство кодовых баз, согласно аудитам Synopsys, содержат зависимость с открытым исходным кодом без последних новых функций, улучшений или, что более важно, исправлений безопасности.

Что все это значит? Во-первых, программное обеспечение – с открытым исходным кодом или иначе – может стать уязвимым, если за рулем никого нет. Вот почему Linux Foundation учредил The Core Infrastructure Initiative (CII) при поддержке таких тяжеловесов в технологиях, как Amazon, Google, Microsoft, Cisco, IBM и Intel, для поддержки проектов с открытым исходным кодом, критически важных для Интернета и связанных с ним проектов. устройства и системы.

Но это также означает, что коммерческие компании, ориентированные на предприятия, могут монетизировать проекты с открытым исходным кодом с обещанием дополнительных функций и (повышенной) безопасности. А такие компании, как Synopsys, WhiteSource, Snyk и Sonatype, могут построить бизнес на миллиарды долларов, помогая командам разработчиков поддерживать свой стек с открытым исходным кодом и обеспечивая быстрое устранение основных недостатков.