Отчет об анализе безопасности и рисков открытого исходного кода за 2024 год: Знаете ли вы, что находится в вашем коде?
Open SourceКибербезопасностьОтчеты

Отчет об анализе безопасности и рисков открытого исходного кода за 2024 год: Знаете ли вы, что находится в вашем коде?

admin

Отчет “Анализ безопасности и рисков открытого исходного кода” (OSSRA) за 2024 год от Synopsys предоставляет углубленный обзор текущего состояния безопасности, соответствия требованиям, лицензирования и рисков качества кода открытого исходного кода в коммерческом программном обеспечении. Основная тема отчета на протяжении почти десятилетия – “Знаете ли вы, что находится в вашем коде?”.

В 2024 году этот вопрос актуален как никогда, учитывая распространенность открытого исходного кода и рост использования кода, сгенерированного ИИ. Без полного представления о том, что находится в вашем коде, ни вы, ни ваши поставщики, ни ваши конечные пользователи не могут быть уверены в том, какие риски может содержать ваше программное обеспечение.

rep-ossra-2024Скачать

Основные факты из отчета:

  1. 96% из более чем 1000 проанализированных кодовых баз содержали открытый исходный код. 77% всего исходного кода и файлов происходили из открытого исходного кода.
  2. 53% кодовых баз имели конфликты лицензий на открытый исходный код.
  3. 84% кодовых баз, оцененных на наличие рисков безопасности, имели уязвимости; 74% имели уязвимости высокого риска.
  4. 91% этих кодовых баз имели компоненты, отстающие на 10 и более версий от последней версии.
  5. 49% кодовых баз содержали открытый исходный код, который не разрабатывался в течение последних двух лет.
  6. 31% кодовых баз содержали код либо без различимой лицензии, либо с пользовательской лицензией.

Выводы и рекомендации:

Независимо от того, разрабатывает ли ваша организация программное обеспечение или использует его, существует почти полная уверенность в том, что оно содержит компоненты с открытым исходным кодом. Видимость вашего кода должна быть приоритетом. Потребители открытого исходного кода должны лучше поддерживать свой код в актуальном состоянии, особенно когда речь идет о популярных компонентах. Создайте и поддерживайте Перечень материалов программного обеспечения (SBOM), который подробно описывает, что находится в вашем коде, включая сведения о версии, лицензии и происхождении. Без всестороннего представления о своем коде и проактивных практик программной гигиены вы подвергаете свое ПО потенциальным уязвимостям и вопросам соответствия интеллектуальной собственности. Начните с использования автоматизированных инструментов анализа состава программного обеспечения (SCA) для раннего выявления проблем безопасности, качества кода и лицензирования в жизненном цикле разработки ПО.

admin
Author: admin

Related Posts