بیش از چهار مورد از پنج (84%) پایگاه کد حاوی حداقل یک آسیبپذیری منبع باز شناخته شده است.
این ارقام از گزارش جدید منبع باز امنیت و تجزیه و تحلیل ریسک Synopsys (OSSRA) به دست آمده است که به افزایش تقریباً 4 درصدی نسبت به سال گذشته اشاره می کند.
سند تحقیقاتی همچنین به رشد 163 درصدی در پذیرش متن باز در بخش edtech اشاره می کند و پس از آن بخش های هوافضا، هوانوردی، خودرو، حمل و نقل و لجستیک (97٪) و تولید و رباتیک (74٪) قرار دارند.
مایک مکگوایر، مدیر ارشد راهحلهای نرمافزاری در گروه یکپارچگی نرمافزار Synopsys، اظهار داشت: «کلید مدیریت ریسک منبع باز با سرعت توسعه مدرن، حفظ دید کامل محتوای برنامهها است.
«با ایجاد این دید در چرخه عمر برنامه، کسبوکارها میتوانند خود را به اطلاعات مورد نیاز برای تصمیمگیری آگاهانه و به موقع در مورد حلوفصل ریسک مسلح کنند.»
نقص های پرخطر در طول پنج سال گذشته به طور قابل توجهی از سال 2019 افزایش یافته است، به ویژه در بخش های خرده فروشی و تجارت الکترونیک (557٪).
علاوه بر این، Synopsys دریافت که 31٪ از پایگاه های کد به منبع باز بدون مجوز قابل تشخیص یا با مجوزهای سفارشی متکی هستند، که 55٪ افزایش نسبت به سال گذشته نشان می دهد.
در نهایت، 91٪ از پایگاه های کد ممیزی شده حاوی نسخه های قدیمی از اجزای منبع باز بودند.
مک گوایر توضیح داد: «سازمانهایی که از هر نوع نرمافزار شخص ثالث استفاده میکنند باید به درستی فرض کنند که این نرمافزار منبع باز است.
«تأیید این موضوع و حفظ ریسک مرتبط با آن، به سادگی دریافت SBOM [لایحه مواد نرمافزاری] است – چیزی که به راحتی توسط فروشندهای که اقدامات لازم را برای ایمن کردن زنجیره تأمین نرمافزار خود انجام میدهد، ارائه میشود.»
گزارش 2023 OSSRA نتایج بیش از 1700 ممیزی از مبانی کد تجاری و اختصاصی را از معاملات ادغام و اکتساب گردآوری می کند و روندها را در 17 صنعت برجسته می کند.
همچنین حاوی توصیه های مختلفی برای شرکت ها برای رویارویی بهتر با خطرات امنیتی ناشی از توسعه و استفاده از منبع باز است.
دادههای جدید چند هفته پس از کشف بیش از 700 بسته منبع باز مخرب توسط محققان امنیت سایبری Sonatype در رجیستریهای منبع باز npm و PyPI منتشر شد.
