0
0
A participação do software de código aberto da base de códigos típicas cresceu para 78% em 2021, mas as empresas continuaram a usar componentes que estão desatualizados e não mais mantidos, deixando seu software potencialmente vulnerável, mostra um novo estudo.
A grande maioria das bases de código de software contém pelo menos uma vulnerabilidade (81%), usa um componente de código aberto que está mais de quatro anos desatualizado (85%) e contém componentes que não tiveram desenvolvimento nos últimos dois anos (88%), de acordo com o relatório anual “Análise de Risco de Software de Código Aberto” (OSSRA) da Synopsys, publicado esta semana. No entanto, muitos dos pontos de dados mostram melhora em relação ao ano passado, quando 84% das bases de código tinham pelo menos uma vulnerabilidade e 91% não tinham atividade de desenvolvimento nos dois anos anteriores.
No geral, os dados sugerem que as empresas estão apenas começando a avançar contra as vulnerabilidades e ainda há um longo caminho a percorrer, diz Tim Mackey, principal estrategista de segurança da Synopsys.
“Toda essa ideia [de] pessoas tentando se recompor em torno do que fariam a partir de uma perspectiva da cadeia de fornecimento de software está ressoando até certo ponto, mas ainda não está em um ponto em que está fazendo um grande amassado em grandes coisas”, diz ele. Com muitos desses componentes de código aberto, “as pessoas não estão dizendo, eu vou usar [componente X], ele está vindo junto para o passeio com alguma outra biblioteca que eles estão usando.”
O relatório Synopsys é um olhar único sobre o estado de segurança de software e conformidade com licenças, uma vez que os dados vêm exclusivamente do serviço da empresa para due diligence que normalmente ocorre durante fusões e aquisições (M&A). Em 2021, o número de M&A subiu 24% devido à intensa concorrência entre adquirentes corporativos, empresas de private equity e empresas de aquisição de propósitos especiais (SPACs), de acordo com a consultoria PricewaterhouseCoopers. O aumento da atividade levou a um aumento nas bases de código de varredura. A Synopsys escaneou mais de 2.400 bases de códigos comerciais em 17 indústrias, um crescimento de 64%, de acordo com o relatório.
No geral, a empresa viu melhorias na redução do número de vulnerabilidades de alto risco em bases de código auditadas, com uma diminuição significativa na prevalência de vulnerabilidades de alto risco top-10, afirmou o relatório. Nos dados de 2020, por exemplo, 29% das bases de código tinham componentes expondo a vulnerabilidade mais prevalente, enquanto os dados de 2021 no relatório deste ano identificaram a vulnerabilidade de alto risco mais prevalente em apenas 8% das bases de código.
“Todas as vulnerabilidades recorrentes de alto risco tiveram reduções significativas”, afirma o relatório. “A identificação imediata, a priorização e a mitigação de vulnerabilidades de alto risco podem ajudar as equipes a enfrentar os riscos que representam a maior ameaça para suas organizações.”
Spread persistente do Código Aberto
As melhorias vêm à medida que as empresas continuam a aprofundar o uso de software de código aberto. Em 2019, o código aberto representou 70% das bases de código auditadas pela Synopsys, subindo para 75% no ano passado. Agora, com 78%, a segurança do software de uma empresa depende esmagadoramente do estado dos componentes de código aberto usados por suas equipes de desenvolvimento.
No entanto, a qualidade dos projetos de software de código aberto continua desigual, especialmente quando se trata de segurança. Por exemplo, quase um quarto dos projetos de software (23%) têm apenas um único desenvolvedor contribuindo com a maior parte do código, potencialmente representando um risco para as empresas que usam a biblioteca como um componente de seu próprio software, de acordo com o relatório.
Infelizmente, as empresas não eliminaram os riscos mais significativos de componentes e dependências de código aberto. Com 88% das bases de código contendo versões desatualizadas — componentes para os quais há uma atualização que ainda precisa ser aplicada — as organizações precisam rastrear o software e os projetos que usam em desenvolvimento com uma conta de software de materiais (SBOM).
Mais SBOMs a caminho?
No próximo ano ou dois, os SBOMs se tornarão muito mais prevalentes, mas isso ainda não resolverá o problema, diz Mackey.
“O problema maior é que a maioria das pessoas não sabe o que fazer com [o SBOM]”, diz ele. “É outro documento que se senta ao lado do contrato de licença que ninguém lê, e eles não sabem o que fazer sobre isso, mas eles ouviram que ele tem algum vodu mágico associado a ele, então eles querem, mas eles não construíram um processo para usá-lo.”
À medida que as empresas se tornam melhores em analisar os componentes usados por seus softwares, elas também encontrarão e corrigirão muitos problemas de licenciamento. Como existem todos os tipos de licenças de código aberto, as empresas precisam tomar cuidado com o software que incluem em seu próprio desenvolvimento. Atualmente, mais da metade das bases de código auditadas (53%) têm conflitos de licença, e 20% contêm código aberto sem licença ou licença não padronizada.
De acordo com o relatório Synopsys, “as bases de código que contêm componentes de código aberto sem licença perceptível ou uma licença personalizada têm uma camada adicional de risco.”
FONTE: DARK READING