Ogni mese vengono scaricati 1,2 miliardi di componenti Open Source vulnerabili
La percezione sulla sicurezza del patrimonio open source aziendale purtroppo non corrisponde alla realtà di come viene effettivamente gestito il rischio legato all'open source a livello globale.
Partecipa al webinar “Percezione Vs realtà: Uno sguardo data-driven sulla gestione del rischio Open Source” per scoprire la verità dietro al consumo dei componenti open source. Ci vediamo mercoledì 30 novembre alle 14:30.
Perché partecipare
Partecipa al webinar per scoprire best practices efficaci per la gestione dell'open source supportate dall'8° Rapporto annuale sullo stato della Software Supply Chain in compagnia di Andrea Deganutti e Mario Iotti. Preparati ad affrontare il 2023 con una nuova consapevolezza del tuo patrimonio Open Source e acquisire le strategie più efficaci per affrontare al meglio i rischi legati all’utilizzo di componenti vulnerabili.
Vuoi saperne di più? Scrivi a sales@emerasoft.com per conoscere meglio Sonatype e sapere perché anche tu hai bisogno di un tool di SCA - Software Composition Analysis
12. Production
Perception: Open Source is risky
Reality: OSS Can Almost Always Be Secure
35% of releases are vulnerable (Maven Central)
3.5M vulnerable releases
1.2B vulnerable downloads per month
98% of projects have safe versions available
Most vulnerabilities are patched before they’re disclosed
Log4j: Patched in 15 days. Patch was available by the time the CVE went public.
13. Consumption
Perception: We’re good
at managing open source
Reality: Mixed Results
68% are confident they are not using
vulnerable versions
High remediation maturity (self-reported)
68% of applications use a component
with a known vulnerability.
Managers: 3.5x more likely to say
remediation is fast (< 1 day)
We’re great at remediation!
(we think)
remediation
inventory
policy controls
build & release
giving back
supplier hygiene
consumption
transformation
14.
15. Avoidable
Vulnerability
(poor choices)
Vulnerability is largely a consumption-side problem
For 96% of vulnerable downloads,
there was a non-vulnerable
version available
Avoidabilityof vulnerable Maven
Central downloads
Unavoidable
Vulnerability
19. OpenSSF Security Scorecard
• Code Review Security Policy Update Tool
• License File Signed Releases Workflow Permissions
• Branch Protection No Binaries Fuzz Testing
• Pinned Dependencies Active Commits No Unpatched Vulns
• Official Packaging Safe Workflows Best Practices Badge
20. Connection With Security
Predict whether a
project has a known
vulnerability
OpenSSF Scorecard
Machine
Learning
Code Review Security Policy Update Tool
License File Signed Releases Workflow Permissions
Branch Protection No Binaries Fuzz Testing
Pinned Dependencies Active Commits No Unpatched Vulns
Official Packaging Safe Workflows Best Practices Badge
21. Converting To A Rating
Sonatype Safety
Rating
+
Dependency
Hygiene
Rating
(MTTU)
OpenSSF
Scorecard
22. Research-backed rating tool that
predicts with 86%+ accuracy
whether an open source project
contains security vulnerabilities
safety rating
24. ● Some binary data checked in
● Dependencies not all pinned
● No binary data
● Uses fuzz testing
Available on Maven Central and OSS Index
25. Production Consumption
Open Source Maintainers Enterprise Developers
● Choose projects with a high Safety
Rating
(and help us make it better)
● Use SCA tools to flag and fix
vulnerable libraries
● Get a realistic view of your
organization’s performance
● Implement Scorecard Best
Practices
● Keep Dependencies Up-to-
date
26.
27. • Un basso livello di sicurezza informatica,
riflesso da vulnerabilità diffuse e dalla
fornitura insufficiente e incoerente di
aggiornamenti di sicurezza per affrontarle;
• Un'insufficiente comprensione e accesso
alle informazioni da parte degli utenti,
impedendo loro di scegliere prodotti con
adeguate proprietà di sicurezza.
• Creare le condizioni per lo sviluppo di prodotti sicuri con
elementi digitali garantendo che i prodotti hardware e
software siano immessi sul mercato con meno vulnerabilità e
garantire che i produttori prendano sul serio la sicurezza
durante l'intero ciclo di vita di un prodotto;
• Creare condizioni che consentano agli utenti di tenere conto
della sicurezza informatica nella scelta e nell'utilizzo di
prodotti con elementi digitali.
La proposta di regolamento sui requisiti di sicurezza
informatica per le applicazioni digitali rafforza le
norme di sicurezza informatica per garantire prodotti
hardware e software più sicuri.