Tópicos técnicos

O que é segurança de código aberto?

Ilustração de itens de TI com foco em um laptop

Visão geral

A Segurança de Código Aberto, comumente chamada de Análise de Composição de Software (SCA), é uma metodologia que oferece aos usuários melhor visibilidade do inventário de código aberto de seus aplicativos. Isso é feito examinando os componentes por meio de impressões digitais binárias, utilizando pesquisas proprietárias e com curadoria profissional, combinando varreduras precisas com essa inteligência proprietária, além de fornecer aos desenvolvedores essa inteligência diretamente em suas ferramentas favoritas.

O que é código aberto?

Código-fonte aberto refere-se a qualquer software com código-fonte acessível que qualquer pessoa pode modificar e compartilhar livremente. O código-fonte é a parte do software que os usuários não veem; é o código que os programadores podem criar e editar para alterar o funcionamento do software. Ao ter acesso ao código-fonte de um programa, os desenvolvedores ou programadores podem aprimorar o software adicionando recursos ou corrigindo partes que nem sempre funcionam corretamente.

Por que usar software de código aberto?

No atual mundo dos negócios de ritmo acelerado, as equipes de software adotaram práticas de desenvolvimento ágil, como DevOps, para acompanhar a demanda dos negócios. Essas práticas exercem muita pressão sobre os desenvolvedores para que criem e implementem aplicativos mais rapidamente. Para atingir seus objetivos com sucesso em ciclos curtos de lançamento de software, os desenvolvedores frequentemente usam componentes de software de código aberto. O software de código aberto (OSS) é distribuído gratuitamente, o que o torna muito econômico. Muitos desenvolvedores se beneficiam ao começar com o OSS e depois ajustá-lo para atender às suas necessidades. Como o código é aberto, basta modificá-lo para adicionar a funcionalidade desejada.

O código aberto é um risco à segurança?

Não é segredo... os desenvolvedores usam software de código aberto.

Ainda assim, há dúvidas sobre como ele deve ser gerenciado, e por um bom motivo.

Veja por quê:

Os componentes de código aberto não são criados da mesma forma. Alguns são vulneráveis desde o início, enquanto outros ficam ruins com o tempo.
O uso se tornou mais complexo. Com dezenas de bilhões de downloads, é cada vez mais difícil gerenciar bibliotecas e dependências diretas.
Dependências transitivas: se estiver usando ferramentas de gerenciamento de dependências, como Maven (Java), Bower (JavaScript), Bundler (Ruby) etc., você estará automaticamente puxando dependências de terceiros - uma responsabilidade que você não pode se dar ao luxo de ter.
Mais de 300.000 componentes de código aberto são baixados anualmente por uma empresa média
Em 2018, em bilhões de downloads de versões de componentes de código aberto, 1 em cada 10 componentes de código aberto tinha vulnerabilidades de segurança conhecidas (10,3%).
51% dos downloads de pacotes JavaScript continham vulnerabilidades de segurança conhecidas.
Aumento de 71% nas violações confirmadas ou suspeitas relacionadas a código aberto desde 2014

Como faço para identificar vulnerabilidades de código aberto em meu software?

As empresas precisam proteger não apenas o código que escrevem, mas também o código que consomem de componentes de código aberto. É por isso que muitas organizações estão usando a Sonatype para automatizar a governança de código aberto em escala em todo o SDLC, transferindo a segurança para os estágios de desenvolvimento e construção.

Descubra a melhor solução integrada da categoria para segurança de código personalizado e código-fonte aberto com o OpenText™ Cybersecurity Cloud e a Sonatype. A inteligência precisa de código-fonte aberto oferece uma visão de 360 graus dos problemas de segurança de aplicativos nos componentes de código personalizado e de código-fonte aberto em uma única varredura. Você pode realizar pesquisas de vulnerabilidades de código-fonte aberto e de código personalizado em uma única varredura e em um único painel.

Fortify também oferece inteligência e segurança de código aberto por meio do Debricked, usando aprendizado de máquina de última geração para obter resultados mais rápidos e precisos. O Debricked é uma solução de análise de composição de software nativa da nuvem que os desenvolvedores querem usar e, por sua vez, aumenta a produtividade. Essa solução emprega uma abordagem holística com integrações perfeitas no ciclo de vida do DevOps para gerenciar proativamente os riscos da cadeia de suprimentos de software.

Recursos

OpenText soluções de defesa contra violações

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Pesquisa

Business Network CloudBusiness Network Cloud

Integração da cadeia de suprimentosIntegração da cadeia de suprimentos

Serviços de integração B2BServiços de integração B2B

Colaboração do ecossistemaColaboração do ecossistema

Rede de negócios Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integrações de negóciosIntegrações de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automação de processosAutomação de processos

Governança da informaçãoGovernança da informação

Conteúdo Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e proteção de dadosPrivacidade e proteção de dados

Investigações e perícias digitaisInvestigações e perícias digitais

Inteligência sobre ameaçasInteligência sobre ameaças

Detecção e resposta a ameaçasDetecção e resposta a ameaças

Segurança cibernética Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Functional TestingFunctional Testing

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Web e experiências de marcaWeb e experiências de marca

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Experiência Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de serviçosGerenciamento de serviços

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

AutomaçãoAutomação

Gerenciamento de redeGerenciamento de rede

Operações de TI Aviator

OpenText ThrustOpenText Thrust

Developer Cloud documentação técnicaDeveloper Cloud documentação técnica

Aviator Thrust

PortfolioPortfolio

Proteção de dados e backup de endpointsProteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvelGerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipeTrabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Informações reimaginadasInformações reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

BlogsBlogs

EventosEventos

ComunidadesComunidades

Histórias de clientesHistórias de clientes

OpenText NavigatorOpenText Navigator

Em destaque

Analytics Cloud

Analytics Database

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Business Network Cloud

Integração da cadeia de suprimentos

Serviços de integração B2B

Colaboração do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integrações de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automação de processos

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Identity and Access Management

Privacidade e proteção de dados

Investigações e perícias digitais

Inteligência sobre ameaças

Detecção e resposta a ameaças

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Functional Testing

Engenharia de desempenho

Experience Cloud

Web e experiências de marca

Mensagens

Jornada do cliente e dados

Media Management

Contact Center Analytics

IT Operations Cloud

Gerenciamento de serviços

FinOps

AIOps e observabilidade

Automação

Gerenciamento de rede

OpenText Thrust

Developer Cloud documentação técnica

Portfolio

Proteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Informações reimaginadas

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navigator