0
0
A Synopsys divulgou um relatório que examina os resultados de mais de 2.400 auditorias de bases de código comerciais e proprietárias de transações de fusões e aquisições, e destaca tendências de uso de código aberto em aplicativos comerciais e proprietários e fornece insights para ajudar os desenvolvedores a entender melhor o ecossistema de software interconectado.
O relatório também detalha os riscos generalizados representados pelo código aberto não gerenciado, incluindo vulnerabilidades de segurança, componentes desatualizados ou abandonados e problemas de conformidade com licenças.
As descobertas ressaltam o fato de que o código aberto é usado em todos os lugares, em todas as indústrias, e é a base de cada aplicativo construído hoje.
O código aberto desatualizado permanece a norma — incluindo a presença de versões vulneráveis do Log4j. Do ponto de vista de risco/manutenção operacional, 85% das 2.097 bases de código continham código aberto que estava mais de quatro anos desatualizado. 88% utilizaram componentes que não eram a versão mais recente disponível. 5% continham uma versão vulnerável do Log4j.
As bases de código avaliadas mostram que as vulnerabilidades de código aberto estão diminuindo em geral. 2.097 das bases de código avaliadas incluíram avaliações de segurança e riscos operacionais. Houve uma redução mais dramática no número de bases de código contendo vulnerabilidades de código aberto de alto risco. 49% das bases de código auditadas deste ano continham pelo menos uma vulnerabilidade de alto risco, em comparação com 60% no ano passado. Além disso, 81% das bases avaliadas continham pelo menos uma vulnerabilidade conhecida de código aberto, uma redução mínima de 3% em relação aos achados do OSSRA 2021.
Os conflitos de licença também estão diminuindo no geral. Mais da metade — 53%— das bases de código continham conflitos de licença, uma redução substancial em relação aos 65% vistos em 2020. Em geral, os conflitos específicos de licenças diminuíram entre 2020 e 2021.
20% das bases de código avaliadas continham código aberto sem licença ou com licença personalizada. Uma vez que uma licença de software rege o direito de usá-lo, software sem licença apresenta o dilema de se o uso do componente de código aberto implica risco legal. Além disso, licenças de código aberto personalizadas podem colocar requisitos indesejáveis no licenciado e muitas vezes exigirão avaliação legal para possíveis problemas de IP ou outras implicações.
“Os usuários do software SCA concentraram sua atenção na redução de problemas de licença de código aberto e no enfrentamento de vulnerabilidades de alto risco, e esse esforço se reflete nas reduções que vimos este ano em conflitos de licenças e vulnerabilidades de alto risco”, disse Tim Mackey, estrategista principal de segurança do Centro de Pesquisa em Segurança Cibernética da Synopsys.
“O fato é que mais da metade das bases de código que auditamos ainda continham conflitos de licenças e quase metade ainda continha vulnerabilidades de alto risco. Ainda mais preocupante foi que 88% das bases de código [com avaliações de risco] continham versões desatualizadas de componentes de código aberto com uma atualização ou patch disponível que não foi aplicado.”
“Há razões justificáveis para não manter o software completamente atualizado”, continuou Mackey. “Mas, a menos que uma organização mantenha um inventário preciso e atualizado do código aberto usado em seu código, um componente desatualizado pode ser esquecido até que se torne vulnerável a uma exploração de alto risco e, em seguida, a luta para identificar onde está sendo usado e atualizá-lo. Isso é precisamente o que ocorreu com o Log4j, e por isso as cadeias de fornecimento de software e a Nota fiscal de Software de Materiais (SBOM) são temas tão quentes.”
FONTE: HELPNET SECURITY