Tópicos técnicos

O que é segurança de código aberto?

Ilustração de itens de TI com foco em um laptop

Visão geral

A Segurança de Código Aberto, comumente chamada de Análise de Composição de Software (SCA), é uma metodologia que oferece aos usuários melhor visibilidade do inventário de código aberto de seus aplicativos. Isso é feito examinando os componentes por meio de impressões digitais binárias, utilizando pesquisas proprietárias e com curadoria profissional, combinando varreduras precisas com essa inteligência proprietária, além de fornecer aos desenvolvedores essa inteligência diretamente em suas ferramentas favoritas.

O que é código aberto?

O que é código aberto?

Código-fonte aberto refere-se a qualquer software com código-fonte acessível que qualquer pessoa pode modificar e compartilhar livremente. O código-fonte é a parte do software que os usuários não veem; é o código que os programadores podem criar e editar para alterar o funcionamento do software. Ao ter acesso ao código-fonte de um programa, os desenvolvedores ou programadores podem aprimorar o software adicionando recursos ou corrigindo partes que nem sempre funcionam corretamente.

Por que usar software de código aberto?

No atual mundo dos negócios de ritmo acelerado, as equipes de software adotaram práticas de desenvolvimento ágil, como DevOps, para acompanhar a demanda dos negócios. Essas práticas exercem muita pressão sobre os desenvolvedores para que criem e implementem aplicativos mais rapidamente. Para atingir seus objetivos com sucesso em ciclos curtos de lançamento de software, os desenvolvedores frequentemente usam componentes de software de código aberto. O software de código aberto (OSS) é distribuído gratuitamente, o que o torna muito econômico. Muitos desenvolvedores se beneficiam ao começar com o OSS e depois ajustá-lo para atender às suas necessidades. Como o código é aberto, basta modificá-lo para adicionar a funcionalidade desejada.

O código aberto é um risco à segurança?

Não é segredo... os desenvolvedores usam software de código aberto.

Ainda assim, há dúvidas sobre como ele deve ser gerenciado, e por um bom motivo.

Veja por quê:

  • Os componentes de código aberto não são criados da mesma forma. Alguns são vulneráveis desde o início, enquanto outros ficam ruins com o tempo.
  • O uso se tornou mais complexo. Com dezenas de bilhões de downloads, é cada vez mais difícil gerenciar bibliotecas e dependências diretas.
  • Dependências transitivas: se estiver usando ferramentas de gerenciamento de dependências, como Maven (Java), Bower (JavaScript), Bundler (Ruby) etc., você estará automaticamente puxando dependências de terceiros - uma responsabilidade que você não pode se dar ao luxo de ter.
  • Mais de 300.000 componentes de código aberto são baixados anualmente por uma empresa média
  • Em 2018, em bilhões de downloads de versões de componentes de código aberto, 1 em cada 10 componentes de código aberto tinha vulnerabilidades de segurança conhecidas (10,3%).
  • 51% dos downloads de pacotes JavaScript continham vulnerabilidades de segurança conhecidas.
  • Aumento de 71% nas violações confirmadas ou suspeitas relacionadas a código aberto desde 2014

Como faço para identificar vulnerabilidades de código aberto em meu software?

As empresas precisam proteger não apenas o código que escrevem, mas também o código que consomem de componentes de código aberto. É por isso que muitas organizações estão usando a Sonatype para automatizar a governança de código aberto em escala em todo o SDLC, transferindo a segurança para os estágios de desenvolvimento e construção.

Descubra a melhor solução integrada da categoria para segurança de código personalizado e código-fonte aberto com o OpenText™ Cybersecurity Cloud e a Sonatype. A inteligência precisa de código-fonte aberto oferece uma visão de 360 graus dos problemas de segurança de aplicativos nos componentes de código personalizado e de código-fonte aberto em uma única varredura. Você pode realizar pesquisas de vulnerabilidades de código-fonte aberto e de código personalizado em uma única varredura e em um único painel.

Fortify também oferece inteligência e segurança de código aberto por meio do Debricked, usando aprendizado de máquina de última geração para obter resultados mais rápidos e precisos. O Debricked é uma solução de análise de composição de software nativa da nuvem que os desenvolvedores querem usar e, por sua vez, aumenta a produtividade. Essa solução emprega uma abordagem holística com integrações perfeitas no ciclo de vida do DevOps para gerenciar proativamente os riscos da cadeia de suprimentos de software.

Produtos relacionados

OpenText™ Fortify™ Sob demanda

Desbloqueie os testes de segurança, o gerenciamento de vulnerabilidades e o conhecimento e suporte personalizados

OpenText™ Fortify™ Analisador de código estático

Encontre e corrija problemas de segurança antecipadamente com os resultados mais precisos do setor

OpenText™ Identity Governance e Administração

Forneça o acesso certo aos usuários certos com o mínimo de atrito

OpenText™ Cybersecurity Cloud

Proteção mais inteligente e mais simples

OpenText™ Data DiscoveryProteção e conformidade

Entenda e proteja os dados para reduzir os riscos, apoiar a conformidade e controlar o acesso aos dados

Veja todos os produtos relacionados

Como podemos ajudar?

Notas de rodapé