Mais de quatro em cada cinco bases de código (84%) contêm alo menos uma vulnerabilidade de código aberto conhecida. A afirmação consta do novo Relatório de Análise de Segurança e Risco de Código Aberto (OSSRA) da Synopsys, que menciona um aumento de quase 4% em relação ao ano passado.
O documento de pesquisa também menciona um crescimento de 163% na adoção de código aberto pelo setor de edtech (empresas de tecnologia educacional), seguido pelos setores aeroespacial, aviação, automotivo, transporte e logística (97%) e manufatura e robótica (74%).
“A chave para gerenciar o risco de código aberto, na velocidade do desenvolvimento moderno, é manter a visibilidade completa do conteúdo do aplicativo”, comentou Mike McGuire, gerente sênior de soluções de software do Synopsys Software Integrity Group. “Ao criar essa visibilidade no ciclo de vida do aplicativo, as empresas podem se armar com as informações necessárias para tomar decisões informadas e oportunas sobre a resolução de riscos.”
As falhas de alto risco nos últimos cinco anos cresceram substancialmente desde 2019, principalmente nos setores de varejo e e-commerce (557%). Além disso, a Synopsys descobriu que 31% das bases de código dependem de código aberto sem licença discernível ou com licenças personalizadas, um aumento de 55% em relação ao ano passado.
Por fim, 91% das bases de código auditadas continham versões desatualizadas de componentes de código aberto. “As organizações que utilizam qualquer tipo de software de terceiros devem presumir legitimamente que ele contém código aberto”, explicou McGuire.
Veja isso
GitHub adiciona recurso para verificação automática de código
Bug no FortiNAC permite execução remota de código
“Verificar isso e ficar por dentro dos riscos associados é tão simples quanto obter uma SBOM [lista de materiais de software] — algo facilmente fornecido por um fornecedor que toma as medidas necessárias para proteger sua cadeia de suprimentos de software.”
O relatório OSSRA de 2023 compila os resultados de mais de 1.700 auditorias de bases de código comerciais e proprietárias de transações de fusão e aquisição e destaca tendências em 17 setores. Ele também contém várias recomendações para as empresas enfrentarem melhor os riscos de segurança do desenvolvimento e uso de código aberto.
Os novos dados chegam semanas depois que os pesquisadores de segurança cibernética da Sonatype descobriram mais de 700 pacotes maliciosos de código aberto nos registros de código aberto npm e PyPI.
