O que é seguran?a de código aberto?

Tópicos técnicos

O que é seguran?a de código aberto?

Ilustra??o de itens de TI com foco em um laptop

Vis?o geral

A Seguran?a de Código Aberto, comumente chamada de , é uma metodologia que oferece aos usuários melhor visibilidade do inventário de código aberto de seus aplicativos. Isso é feito examinando os componentes por meio de impress?es digitais binárias, utilizando pesquisas proprietárias e com curadoria profissional, combinando varreduras precisas com essa inteligência proprietária, além de fornecer aos desenvolvedores essa inteligência diretamente em suas ferramentas favoritas.

O que é código aberto?

Código-fonte aberto refere-se a qualquer software com código-fonte acessível que qualquer pessoa pode modificar e compartilhar livremente. O código-fonte é a parte do software que os usuários n?o veem; é o código que os programadores podem criar e editar para alterar o funcionamento do software. Ao ter acesso ao código-fonte de um programa, os desenvolvedores ou programadores podem aprimorar o software adicionando recursos ou corrigindo partes que nem sempre funcionam corretamente.

Por que usar software de código aberto?

No atual mundo dos negócios de ritmo acelerado, as equipes de software adotaram práticas de desenvolvimento ágil, como DevOps, para acompanhar a demanda dos negócios. Essas práticas exercem muita press?o sobre os desenvolvedores para que criem e implementem aplicativos mais rapidamente. Para atingir seus objetivos com sucesso em ciclos curtos de lan?amento de software, os desenvolvedores frequentemente usam componentes de software de código aberto. O software de código aberto (OSS) é distribuído gratuitamente, o que o torna muito econ?mico. Muitos desenvolvedores se beneficiam ao come?ar com o OSS e depois ajustá-lo para atender às suas necessidades. Como o código é aberto, basta modificá-lo para adicionar a funcionalidade desejada.

O código aberto é um risco à seguran?a?

N?o é segredo... os desenvolvedores usam software de código aberto.

Ainda assim, há dúvidas sobre como ele deve ser gerenciado, e por um bom motivo.

Veja por quê:

Os componentes de código aberto n?o s?o criados da mesma forma. Alguns s?o vulneráveis desde o início, enquanto outros ficam ruins com o tempo.
O uso se tornou mais complexo. Com dezenas de bilh?es de downloads, é cada vez mais difícil gerenciar bibliotecas e dependências diretas.
Dependências transitivas: se estiver usando ferramentas de gerenciamento de dependências, como Maven (Java), Bower (JavaScript), Bundler (Ruby) etc., você estará automaticamente puxando dependências de terceiros - uma responsabilidade que você n?o pode se dar ao luxo de ter.
Mais de 300.000 componentes de código aberto s?o baixados anualmente por uma empresa média
Em 2018, em bilh?es de downloads de vers?es de componentes de código aberto, 1 em cada 10 componentes de código aberto tinha vulnerabilidades de seguran?a conhecidas (10,3%).
51% dos downloads de pacotes JavaScript continham vulnerabilidades de seguran?a conhecidas.
Aumento de 71% nas viola??es confirmadas ou suspeitas relacionadas a código aberto desde 2014

Como fa?o para identificar vulnerabilidades de código aberto em meu software?

As empresas precisam proteger n?o apenas o código que escrevem, mas também o código que consomem de componentes de código aberto. ? por isso que muitas organiza??es est?o usando a Sonatype para automatizar a governan?a de código aberto em escala em todo o SDLC, transferindo a seguran?a para os estágios de desenvolvimento e constru??o.

Descubra a melhor solu??o integrada da categoria para seguran?a de código personalizado e código-fonte aberto com o 好色先生TV? Cybersecurity Cloud e . A inteligência precisa de código-fonte aberto oferece uma vis?o de 360 graus dos problemas de seguran?a de aplicativos nos componentes de código personalizado e de código-fonte aberto em uma única varredura. Você pode realizar pesquisas de vulnerabilidades de código-fonte aberto e de código personalizado em uma única varredura e em um único painel.

Fortify também oferece inteligência e seguran?a de código aberto por meio do , usando aprendizado de máquina de última gera??o para obter resultados mais rápidos e precisos. O Debricked é uma solu??o de análise de composi??o de software nativa da nuvem que os desenvolvedores querem usar e, por sua vez, aumenta a produtividade. Essa solu??o emprega uma abordagem holística com integra??es perfeitas no ciclo de vida do DevOps para gerenciar proativamente os riscos da cadeia de suprimentos de software.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Banco de dados analíticoBanco de dados analítico

Análise de dados n?o estruturadosAnálise de dados n?o estruturados

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Pesquisa empresarialPesquisa empresarial

Aviator Pesquisa

Business Network CloudBusiness Network Cloud

Integra??o da cadeia de suprimentosIntegra??o da cadeia de suprimentos

Servi?os de integra??o B2BServi?os de integra??o B2B

Colabora??o do ecossistemaColabora??o do ecossistema

Rede de negócios Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integra??es de negóciosIntegra??es de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automa??o de processosAutoma??o de processos

Governan?a da informa??oGovernan?a da informa??o

Conteúdo Aviator

Cybersecurity CloudCybersecurity Cloud

Seguran?a de aplicativosSeguran?a de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e prote??o de dadosPrivacidade e prote??o de dados

Investiga??es e perícias digitaisInvestiga??es e perícias digitais

Inteligência sobre amea?as

Detec??o e resposta a amea?asDetec??o e resposta a amea?as

Seguran?a cibernética Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Teste funcionalTeste funcional

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Experiências de marca e na WebExperiências de marca e na Web

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Análise do centro de contatoAnálise do centro de contato

Experiência Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de servi?osGerenciamento de servi?os

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

Automa??oAutoma??o

Gerenciamento de redeGerenciamento de rede

Opera??es de TI Aviator

好色先生TV Impulso好色先生TV Impulso

Developer Cloud documenta??o técnica

Aviator Impulso

PortfolioPortfolio

Prote??o de dados e backup de endpointsProte??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvelGerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipeTrabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dadosArquivamento, eDiscovery e seguran?a de dados

Informa??es reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Servi?os de sucesso do clienteServi?os de sucesso do cliente

Servi?os de consultoria e estratégiaServi?os de consultoria e estratégia

Servi?os de consultoriaServi?os de consultoria

Servi?os de aprendizadoServi?os de aprendizado

Servi?os gerenciadosServi?os gerenciados

Encontre um parceiro 好色先生TVEncontre um parceiro 好色先生TV

Encontre uma solu??o de parceiroEncontre uma solu??o de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Blogs

EventosEventos

Comunidades

Em destaque

Analytics Cloud

Banco de dados analítico

Análise de dados n?o estruturados

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Pesquisa empresarial

Business Network Cloud

Integra??o da cadeia de suprimentos

Servi?os de integra??o B2B

Colabora??o do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integra??es de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automa??o de processos

Governan?a da informa??o

Cybersecurity Cloud

Seguran?a de aplicativos

Identity and Access Management

Privacidade e prote??o de dados

Investiga??es e perícias digitais

Detec??o e resposta a amea?as

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Teste funcional

Engenharia de desempenho

Experience Cloud

Experiências de marca e na Web

Mensagens

Jornada do cliente e dados

Media Management

Análise do centro de contato

IT Operations Cloud

Gerenciamento de servi?os

FinOps

AIOps e observabilidade

Automa??o

Gerenciamento de rede

好色先生TV Impulso

Portfolio

Prote??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dados

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Servi?os de sucesso do cliente

Servi?os de consultoria e estratégia

Servi?os de consultoria

Servi?os de aprendizado

Servi?os gerenciados

Encontre um parceiro 好色先生TV

Encontre uma solu??o de parceiro

Crescer como parceiro

Biblioteca de ativos

Eventos

Histórias de clientes

好色先生TV Navigator