Sebuah studi baru, berdasarkan hasil lebih dari 1.700 audit basis kode komersial dan hak milik yang terlibat dalam transaksi merger dan akuisisi, menemukan 84 persen berisi setidaknya satu kerentanan open source yang diketahui, meningkat hampir empat persen dari tahun lalu.
Laporan Open Source Security and Risk Analysis (OSSRA), yang diproduksi oleh Synopsys Cybersecurity Research Center (CyRC), menunjukkan peningkatan penggunaan open source. Di sektor teknologi pendidikan tumbuh sebesar 163 persen, dengan kursus pendidikan dan interaksi instruktur/siswa semakin didorong secara online.
Area lain yang mengalami lonjakan besar dalam pertumbuhan open source meliputi sektor kedirgantaraan, penerbangan, otomotif, transportasi, dan logistik, dengan peningkatan 97 persen, serta manufaktur dan robotika dengan pertumbuhan 74 persen.
Sejak 2019, kerentanan berisiko tinggi di sektor ritel dan eCommerce melonjak hingga 557 persen. Sektor Internet of Things, dengan 89 persen dari total kode bersifat open source, telah mengalami peningkatan kerentanan berisiko tinggi sebesar 130 persen pada periode yang sama. Demikian pula, kedirgantaraan, penerbangan, otomotif, transportasi, dan logistik mengalami peningkatan sebesar 232 persen dalam kerentanan berisiko tinggi.
Laporan tersebut juga menemukan bahwa 31 persen basis kode menggunakan sumber terbuka tanpa lisensi yang jelas atau dengan lisensi khusus. Ini merupakan peningkatan 55 persen dari laporan OSSRA tahun lalu. Kurangnya lisensi yang terkait dengan kode sumber terbuka, atau varian dari lisensi sumber terbuka lainnya, dapat menimbulkan persyaratan yang tidak diinginkan pada penerima lisensi dan seringkali memerlukan evaluasi hukum untuk kemungkinan masalah IP atau implikasi hukum lainnya.
“Kunci untuk mengelola risiko open source dengan kecepatan perkembangan modern adalah mempertahankan visibilitas lengkap konten aplikasi,” kata Mike McGuire, manajer solusi perangkat lunak senior dalam Grup Integritas Perangkat Lunak Synopsys. “Dengan membangun visibilitas ini ke dalam siklus hidup aplikasi, bisnis dapat mempersenjatai diri dengan informasi yang diperlukan untuk membuat keputusan tepat waktu yang terinformasi terkait resolusi risiko. Organisasi yang memanfaatkan semua jenis perangkat lunak pihak ketiga seharusnya berasumsi bahwa perangkat lunak tersebut berisi sumber terbuka. Memverifikasi ini, dan tetap berada di atas risiko yang terkait, semudah mendapatkan SBOM – sesuatu yang mudah disediakan oleh vendor yang mengambil langkah-langkah yang diperlukan untuk mengamankan rantai pasokan perangkat lunak mereka.”
Laporan lengkap tersedia dari situs Sinopsis.
Kredit gambar: Artur Szczybylo/Shutterstock
