Новости

Отчет Synopsys Black Duck

Более 54% высокорискованных уязвимостей обнаружено в ПО с открытым кодом

Компания Synopsys выпустила отчет, результаты которого показывают, что треть проверенных кодовых баз, содержащих Apache Struts, имела уязвимость, которая привела к взлому Equifax (Бюро кредитных историй).

16 мая 2018 г

Компания Rainbow Security, ведущий российский дистрибьютор решений в области информационной безопасности сообщает о том, что компания Synopsys, Inc. (Nasdaq: SNPS) вчера выпустила отчет Black Duck (подразделение Synopsys) 2018 по Безопасности ПО с открытым кодом и анализу рисков (Open Source Security and Risk Analysis (OSSRA), в котором анализируются анонимные данные от более 1100 коммерческих кодовых баз, проверенных в 2017 году. Отрасли, представленные в отчете, включают в себя: автомобилестроение, большие данные, кибербезопасность, корпоративное программное обеспечение, финансовые услуги, здравоохранение, интернет-магазины (IoT), производство мобильных приложений.

В докладе подчеркивается массовый всплеск использования открытого кода: в 96 процентах изученных приложений использовались компоненты с открытым исходным кодом. Данные также показывают, что среднее количество компонентов с открытым исходным кодом, приходящееся на кодовую базу (257), выросло на 75 процентов по сравнению с предыдущим годом, причем многие приложения содержат больше открытого кода, чем проприетарного. Что еще больше вызывает беспокойство, так это то, что 78% рассмотренных кодовых баз содержали по крайней мере одну уязвимость открытого кода, в среднем же на кодовую базу приходится 64 уязвимости. Более 54% уязвимостей, обнаруженных в проверенных кодовых базах, считаются уязвимостями высокого риска. Семнадцать процентов кодовых баз содержали широко известные уязвимости, такие как Heartbleed, Logjam, Freak, Drown или Poodle.

«Поскольку современное программное обеспечение и инфраструктура сильно зависят от технологий с открытым кодом, четкое представление об используемых компонентах является ключевой частью корпоративного управления», — сказал Тим Макки, технический евангелист из Black Duck подразделения компании Synopsys. «В докладе четко показано, что с ростом использования открытого кода организации должны иметь инструменты для обнаружения уязвимостей в компонентах с открытым кодом и для управления любыми лицензиями, которые могут потребоваться для использования открытого кода».

Уязвимые компоненты с открытым кодом были найдены в приложениях в любой отрасли. В отраслях Internet и Software Infrastructure обнаружена наивысшая доля — 67% приложений содержат уязвимости в открытом коде с высоким уровнем риска. По иронии судьбы, было обнаружено, что 41% приложений в индустрии кибербезопасности имеют критичные уязвимости в открытом коде, что поставило эту отрасль на четвертое место максимально рискованных.

Кроме того, 33% проверенных кодовых баз, содержащих Apache Struts, также содержали уязвимость, которая привела к взлому Equifax. В отчете четко показано, что организации сами позволяют накапливаться уязвимостям в своих кодовых базах. В среднем уязвимости, выявленные в ходе проверок, были раскрыты почти шесть лет назад. 

«Когда Equifax был взломан с помощью уязвимости в Apache Struts, необходимость управления безопасностью компонент с открытым исходным кодом стала сенсацией», — сказал Эван Клейн, менеджер по маркетингу продуктов Black Duck, ответственный за отчет OSSRA. «Несмотря на то, что это было раскрыто в марте 2017 года, многие организации, по-видимому, до сих пор не проверяли свои приложения на уязвимость в Struts».

Основываясь на полученных результатах, 74% проверенных кодовых баз также содержали компоненты с конфликтами лицензий, наиболее распространенными из которых были нарушения лицензии GPL. Процент приложений с конфликтами лицензий в отраслях варьировался от относительного низкого уровня в розничной торговли и электронной коммерции — 61 процент, до максимума в отрасли телекоммуникаций и беспроводной связи, где 100% просканированного ПО имели ту или иную форму нарушения лицензии на открытый исходный код.

Чтобы загрузить отчет OSSRA, посетите страницу https://www.blackducksoftware.com/open-source-security-risk-analysis-2018 

Дополнительную информацию можно получить здесь: pr@rnbo.ru

Возврат к списку

 

Календарь новостей

Предыдущий месяц       Предыдущий год

Май 2018
Пн Вт Ср Чт Пт Сб Вс
30 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Защита банкоматов

Имя* Компания* Email* Телефон

* - обязательные поля

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - обязательные поля

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - обязательные поля