What is Open Source Security?

Open Source Security, commonly referred to as Software Composition Analysis (SCA), is a methodology to provide users better visibility into the open source inventory of their applications. This is done by examining components via binary fingerprints, utilizing professionally curated and proprietary research, matching accurate scans against that proprietary intelligence, as well as proving developers this intelligence directly inside their favorite tools.

Open source refers to any software with accessible source code that anyone can modify and share freely. Source code is the part of software that users don't see; it's the code programmers can create and edit to change how software works. By having access to a program’s source code, developers or programmers can improve the software by adding features to it or fixing parts that don't always work correctly.

Why Use Open Source Software?

In today’s fast paced business world, software teams have adopted agile development practices such as DevOps to keep up with business demand. These practices put a lot of pressure on developers to build and deploy applications more quickly. To successfully achieve their goals within short software release cycles, developers frequently use open source software components. Open Source Software (OSS) is distributed freely, making it very cost-effective. Many developers benefit by starting with OSS and then tweaking it to suit their needs. Since the code is open, it's simply a matter of modifying it to add the functionality they want.

Is Open Source a Security Risk?

It’s no secret... developers use open source software. Still, there are questions around how it should be managed – and for good reason. Here’s why: Open source components are not created equal. Some are vulnerable from the start, while others go bad over time. Usage has become more complex. With tens of billions of downloads, it’s increasingly difficult to manage libraries and direct dependencies. Transitive dependencies: if you are using dependency management tools like Maven (Java), Bower (JavaScript), Bundler (Ruby), etc., then you are automatically pulling in third party dependencies – a liability that you can’t afford. Fortify ’s preferred Software Composition Analysis (SCA) partner Sonatype ’s research team recently found in their latest State of the Software Supply Chain that: 300,000+ open source components are downloaded annually by the average company In 2018, across billions of open source component release downloads, 1 in 10 open source compenents had known security vulnerabilities (10.3%). 51% of JavaScript package downloads contained known security vulnerabilities. 71% increase in confirmed or suspected open source related breaches since 2014 55% reduction in the use of vulnerable open source component releases within managed software supply chains

How do I identify Open Source Vulnerabilities in my software?

Enterprises need to secure not just the code they write, but also the code they consume from open source components. That’s why many organizations are using Sonatype to automate open source governance at scale across the entire SDLC , shifting security left within development and build stages. Discover the best-in-class, integrated solution for custom code and open source code security with Fortify and Sonatype . With integration to Fortify on Demand , precise open source intelligence provides a 360-degree view of application security issues across the custom code and open source components in a single scan. You can perform searches for Open Source and Custom Code Vulnerabilities in a Single Scan and Dashboard

What are the benefits of Open Source security with Fortify and Sonatype:

Provide code once for both SAST and software composition analysis Supports Java, .NET, JavaScript and Python Integrated results deliver one platform for remediation, reporting and analytics Examines fingerprints of 65M components for high accuracy Detects 70% more vulnerabilities than the NVD database alone

Che cos’è Open Source Security?

Open Source Security, comunemente indicata con Software Composition Analysis (SCA), è un metodo che offre agli utenti una migliore visibilità nell’inventario open source delle proprie applicazioni. Ciò si realizza analizzando i componenti mediante le impronte digitali binarie, utilizzando una ricerca ben curata dal punto di vista professionale e riservata (proprietary research), abbinando scansioni precise alla proprietary intelligence, nonché dimostrando agli sviluppatori suddetta intelligence direttamente all’interno dei loro strumenti preferiti.

Che cos’è l’Open Source?

Open source fa riferimento a qualsiasi software con un codice sorgente accessibile che chiunque può modificare e condividere liberamente. Il codice sorgente è la parte del software che gli utenti non vedono; è il codice che i programmatori possono creare e modificare per cambiare il funzionamento del software. Grazie all’accesso al codice sorgente di un programma, gli sviluppatori o programmatori possono migliorare il software aggiungendo funzionalità o risolvendo alcune componenti che non sempre funzionano correttamente.

Perché utilizzare un software open source?

Nel mondo aziendale di oggi dal ritmo veloce, i team dei software hanno adottato pratiche di sviluppo agili quali DevOps per restare al passo con la richiesta commerciale. Tali pratiche esercitano molta pressione sugli sviluppatori affinché creino e distribuiscano le applicazioni più rapidamente. Per raggiungere i propri obiettivi all’interno dei brevi cicli delle release dei software, gli sviluppatori utilizzano spesso componenti software open source. Il software open source (OSS) è distribuito gratuitamente, riducendo notevolmente i costi. Molti sviluppatori traggono vantaggio iniziando con OSS e poi lo modificano per soddisfare le proprie esigenze. Dal momento che il codice è aperto, basta semplicemente modificarlo per aggiungere la funzionalità desiderata.

Open source è un rischio per la sicurezza?

Si sa, gli sviluppatori utilizzano un software open source.
Eppure vi sono ancora domande sul come dovrebbe essere gestito, e a giusta ragione!

Ecco perché:

I componenti open source non sono creati tutti allo stesso modo. Alcuni sono vulnerabili sin dall’inizio, altri invece lo diventano nel tempo.
L’utilizzo è diventato più complesso. Con decine di miliardi di download, è sempre più difficile gestire le librerie e le dipendenze dirette.
Dipendenze transitive: se utilizzate strumenti di gestione delle dipendenze quali Maven (Java), Bower (JavaScript), Bundler (Ruby), ecc., state mettendo automaticamente insieme dipendenze di terze parti – una responsabilità che non potete assumervi.
Ogni anno, vengono scaricati più di 300.000 componenti open source da un’azienda media
Nel 2018, tra i miliardi di download delle release dei componenti open source, 1 su 10 ha sperimentato le vulnerabilità sulla sicurezza (10,3%).
Il 51% dei download dei pacchetti Java conteneva vulnerabilità sulla sicurezza conosciute.
Aumento del 71% di violazioni confermate o sospette relative all'open source dal 2014

In che modo identifico le vulnerabilità open source nel mio software?

Le aziende devono proteggere non solo il codice che scrivono, ma anche il codice che consumano dai componenti open source. Ecco il motivo per cui molte organizzazioni stanno utilizzando Sonatype per automatizzare la governance open source da scalare in tutto il SDLC, anteponendo la sicurezza all’interno delle fasi di creazione e sviluppo.

Scoprite la soluzione integrata migliore del settore per un codice personalizzato e una sicurezza del codice open source con Fortify e Sonatype. La precisa open source intelligence offre una visione a 360° sui problemi relativi alla sicurezza delle applicazioni in tutto il codice personalizzato e nei componenti open source in un’unica scansione. Potete eseguire le ricerche per le vulnerabilità open source e del codice personalizzato in una singola scansione e dashboard

Fortify offre anche un’intelligence e una sicurezza open source tramite Debricked utilizzando un Machine Learning all’avanguardia per risultati più rapidi e precisi. Debricked è una soluzione di analisi della composizione software nativa sul cloud che gli sviluppatori desiderano utilizzare e che, a sua volta, aumenta la produttività. Questa soluzione si serve di un approccio olistico con integrazioni perfette nel ciclo di vita DevOps per gestire in modo proattivo i rischi della catena di distribuzione del software.

Your browser is not supported

OpenText Cloud

Che cos’è Open Source Security?

Che cos’è l’Open Source?

Perché utilizzare un software open source?

Open source è un rischio per la sicurezza?

In che modo identifico le vulnerabilità open source nel mio software?

Prodotti correlati

Fortify on Demand

Fortify Static Code Analyzer

Fortify Software Security Center

Risorse aggiuntive