TECNOLOGIA

Pesquisadores descobrem falta de confiança no estado da segurança de código aberto

Pesquisadores descobrem falta de confiança no estado da segurança de código aberto

[ad_1]

Estamos empolgados em trazer o Become 2022 de volta pessoalmente em 19 de julho e virtualmente de 20 a 28 de julho. Junte-se aos líderes de IA e dados para conversas perspicazes e oportunidades de networking empolgantes. Registre-se hoje!




Hoje, Snyk e A Fundação Linux lançou o State of Open Supply Safety relatórioque examinou os riscos de segurança do uso generalizado de device de código aberto.

Uma das descobertas mais chocantes do relatório foi que 41% das organizações não confiam muito em sua segurança de device de código aberto. Ao mesmo pace, apenas 49% das organizações disseram ter uma política de segurança para desenvolvimento ou uso de OSS.

O relatório vem em meio a crescentes preocupações com a segurança do device de código aberto após o estrago causado pela vulnerabilidade de dia 0 do Log4Shell, que levou à II Cúpula de Segurança de Código Aberto da Casa Brancaonde organizações como Amazon, Google e Microsoft se uniram para se comprometer a melhorar a segurança de código aberto.

A falta de preparação de segurança está alcançando as organizações

Para as empresas, uma das principais tendências do relatório é a falta de capacidade entre as organizações para proteger a cadeia de suprimentos de código aberto. Por exemplo, os pesquisadores descobriram que o projeto médio de desenvolvimento de aplicativos tem 49 vulnerabilidades e 80 dependências diretas.

Além disso, o pace que as organizações levam para corrigir as vulnerabilidades em projetos de código aberto também aumentou significativamente de 49 dias em 2018 para 110 dias em 2021.

No centro do desafio de proteger o device de código aberto está o fato de que há uma tremenda variação no nível de manutenção entre cada projeto.

“O código aberto é uma paisagem enorme e uma igreja ampla. Para cada grande projeto como o Linux Kernel ou Kubernetes que são desenvolvidos principalmente por pessoas que trabalham para empresas, existem centenas de milhares de projetos muito menores”, disse o Diretor de Relações com Desenvolvedores da Snyk, Matt Jarvis.

“Muitos desses desenvolvedores podem estar mantendo o device em seu pace livre e estão focados em tentar fornecer recursos aos usuários, com pouco pace e recursos disponíveis para problemas de segurança”, disse Jarvis.

Os provedores que protegem a cadeia de suprimentos de código aberto

Nesse ambiente, Jarvis recomenda que as organizações comecem a definir políticas em torno de soluções de código aberto, verificando dependências de código aberto, imagens de contêiner e código-fonte em busca de vulnerabilidades e mitigá-las para reduzir os riscos para a organização como um todo.

Atualmente, a Snyk oferece uma solução para identificar vulnerabilidades no código automaticamente, por meio do uso de inteligência de segurança, e ocupa um lugar como um dos principais fornecedores de segurança da cadeia de suprimentos de código aberto.

Apenas no ano passado, a Snyk informou que havia arrecadado US $ 530 milhões como parte de uma série F rodada de financiamento e alcançou uma avaliação de US$ 8,5 bilhões.

É claro que a Snyk não é a única fornecedora de soluções que está focada em mitigar as fraquezas na cadeia de suprimentos de device. Também está competindo com concorrentes como a SonarSource com SonarQube que oferecem análise de código para identificar se há insects ou vulnerabilidades no código do desenvolvedor que podem colocar a organização em risco.

No início deste ano, a SonarSource anunciou que havia arrecadado US$ 412 milhões em financiamento e alcançado um avaliação de US$ 4,7 bilhões. Outros concorrentes no mercado incluem DevSecOps e ferramentas de análise de qualidade de código como Sonatypee ferramentas como Dependabotque oferecem atualizações de dependência automatizadas.

A most important diferença entre ferramentas como o Snyk se resume a abordagens de monitoramento de dependência que ajudam a garantir a segurança do código de terceiros, em vez de ferramentas de revisão de código como o SonarQybe, que se concentram em ajudar os desenvolvedores a melhorar a qualidade do código que eles mesmos produzem.

A missão do VentureBeat é ser uma praça virtual para os tomadores de decisões técnicas adquirirem conhecimento sobre tecnologia empresarial transformadora e realizarem transações. Aprender mais sobre a associação.

[ad_2]

Fonte da Notícia: venturebeat.com

Artigos relacionados

Botão Voltar ao topo