Obsah
- Open Source všade
- Chyby zabezpečenia s otvoreným zdrojom: výsledky sú k dispozícii
- Čo je najzraniteľnejšie zo všetkých?
- Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
- Zraniteľnosti divokého západu s otvoreným zdrojom
- Komunita s otvoreným zdrojovým kódom je na vrchole bezpečnosti - používatelia teraz musia doháňať
- Ako sa dostať dopredu v zabezpečení otvorených zdrojov
Zobrať:
Súčasti s otvoreným zdrojovým kódom sú vynikajúcim spôsobom na vytváranie softvéru, ale chyby v nich môžu ohroziť celú vašu organizáciu. Poznajte riziká a informujte sa o bezpečnostných riešeniach s otvoreným zdrojom, ktoré chránia vás a vašu firmu.
Keďže vývojové tímy súťažia o to, aby držali krok s konkurenčným tempom výroby softvéru, komponenty s otvoreným zdrojovým kódom sa stali neoddeliteľnou súčasťou nástrojov každého vývojára a pomáhajú im pri vývoji a dodávaní inovatívnych produktov rýchlosťou DevOps.
Neustále zvyšovanie využívania otvorených zdrojov spolu s porušovaním hlavných údajov, ako je narušenie systému Equifax, ktoré zneužívalo zraniteľné miesta v súčasti s otvoreným zdrojom, môže mať nakoniec organizácie pripravené na správu zabezpečenia otvoreného zdroja a na riešenie zraniteľností otvoreného zdroja na Divokom západe. Otázkou však zostáva, či vedia, kde začať. (Viac informácií nájdete v časti Kvalitatívne a kvantitatívne: Čas na zmenu Ako posudzujeme závažnosť zraniteľností tretích strán?)
Open Source všade
Spoločnosť WhiteSource nedávno uverejnila správu o stave zraniteľnosti v rámci otvoreného zdroja, aby poskytla informácie, ktoré pomôžu organizáciám lepšie porozumieť tomu, ako pristupovať k bezpečnosti otvoreného zdroja. Podľa správy, ktorá obsahovala výsledky prieskumu o využívaní open source, ktorý sa uskutočnil medzi 650 vývojárov zo Spojených štátov a západnej Európy, sa neuveriteľných 87,4% vývojárov spolieha na komponenty open source „veľmi často“ alebo „stále“. „Ďalších 9,4% odpovedalo, že„ niekedy “používajú komponenty s otvoreným zdrojom. Bolo vynikajúce, že iba 3,2% účastníkov odpovedalo, že nikdy nepoužívajú open source, čo sa pravdepodobne považovalo za dôsledok firemnej politiky.
Tieto čísla jednoznačne dokazujú, že vývojár pracujúci na softvérovom projekte pravdepodobne využíva komponenty s otvoreným zdrojom.
Chyby zabezpečenia s otvoreným zdrojom: výsledky sú k dispozícii
Správa sa tiež hlboko ponorila do otvorenej databázy WhiteSource, ktorá je zoskupená z národnej databázy zraniteľností (NVD), bezpečnostných rád, recenzovaných databáz zraniteľností a populárnych sledovačov problémov s otvoreným zdrojom, aby sa dozvedela o zraniteľnostiach otvoreného zdroja, ktoré vývojové tímy potrebujú. zaoberať sa s.
Výsledky ukázali, že počet známych zraniteľností z otvoreného zdroja dosiahol v roku 2017 historicky najvyššiu úroveň s takmer 3 500 zraniteľnosťami. V porovnaní s rokom 2016 to predstavuje nárast o viac ako 60 percent v počte odhalených slabých miest v otvorenom zdroji a trend nevykazuje žiadne známky spomalenia v roku 2018.
Čo je najzraniteľnejšie zo všetkých?
Výskum sa tiež ponoril do databázy s cieľom nájsť najzraniteľnejšie open source projekty a prišiel s prekvapujúcimi výsledkami. Zatiaľ čo 7,5 percenta všetkých projektov s otvoreným zdrojom je zraniteľných, 32 percent zo 100 najobľúbenejších projektov s otvoreným zdrojom má najmenej jednu zraniteľnosť.
Zatiaľ čo jedna zraniteľnosť je dostatočná na vystavenie viacerých knižníc riziku, zraniteľný projekt s otvoreným zdrojom obsahuje v priemere osem zraniteľností. To znamená, že najobľúbenejšie projekty s otvoreným zdrojovým kódom sú často tie, ktoré sa zameriavajú na zraniteľné miesta.
Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.
Tento prehľad sa stane ešte jasnejším, keď sa pozrieme na zoznam 10 najlepších projektov s otvoreným zdrojovým kódom s najvyšším počtom zraniteľných miest v otvorenom zdroji. Zoznam 10 najlepších obsahuje mimoriadne populárne projekty s otvoreným zdrojovým kódom, ktoré mnohí z nás používajú.
Tieto projekty majú viac ako jednu spoločnú vec: Väčšina z nich je zameraná na internet, komponenty front-end so širokými útokovými plochami, ktoré sú veľmi exponované, čo ich relatívne ľahko využíva. To je dôvod, prečo priťahujú veľa pozornosti komunity výskumných pracovníkov v oblasti otvoreného zdroja.
Ďalším aspektom, ktorý mnohé z týchto projektov zdieľajú, je to, že väčšinu podporujú obchodné spoločnosti. Vzhľadom na podiely a zdroje, ktoré sú za nimi, sa možno pýtať: Ako by mohli byť projekty podporované takými veľkými hráčmi tak zraniteľné?
Zraniteľnosti divokého západu s otvoreným zdrojom
V minulosti by objav zraniteľností s otvoreným zdrojom prebudil živú diskusiu o tom, či sú komponenty s otvoreným zdrojom udržiavané dostatočne dobre na to, aby sa dali bezpečne používať. Našťastie tieto dni skončili a dnes vieme, že nárast hlásených zraniteľností v otvorenom zdroji ukazuje, ako rýchlo komunita s otvoreným zdrojom a komunita zabezpečenia reagujú na to, aby držali krok s krajinou hrozieb.
Exponenciálny rast komunity s otvoreným zdrojovým kódom spolu s neskorým objavením notoricky známych zraniteľností otvoreného zdroja v divoko populárnych komponentoch, ako sú tie, ktoré umožnili spoločnosti Heartbleed prosperovať, priniesli zvýšené povedomie o bezpečnosti otvoreného zdroja a armáda výskumníkov analyzujúcich otvorený zdroj. projekty zamerané na zraniteľné miesta, ako aj rýchly obrat na opravy.
V skutočnosti sa v správe WhiteSource zistilo, že 97 percent všetkých nahlásených zraniteľností má v komunite s otvoreným zdrojovým kódom aspoň jednu navrhnutú opravu, pričom aktualizácie zabezpečenia sa zvyčajne zverejňujú do niekoľkých dní od uverejnenia tejto chyby. (Viac informácií o otvorenom zdroji nájdete v časti Open Source: Je príliš dobré byť pravdivý?)
Komunita s otvoreným zdrojovým kódom je na vrchole bezpečnosti - používatelia teraz musia doháňať
Aj keď spolupráca a snaha komunity open source o zlepšenie zabezpečenia otvoreného zdroja jednoznačne prinášajú výsledky v oblasti zisťovania zraniteľností, zverejňovania a rýchlych opráv, je pre používateľov ťažké udržať krok, a to kvôli decentralizovanej povahe komunity s otvoreným zdrojom.
Keď vývojári používajú komerčné softvérové komponenty, aktualizácie verzií sú súčasťou služby, za ktorú platia, a predajcovia môžu byť dosť zvedaví na to, aby ste sa uistili, že ich vidíte.
Takto nefunguje open source. Údaje WhiteSource, ktoré ukázali, že v databáze CVE sa vyskytuje iba 86 percent hlásených zraniteľností s otvoreným zdrojom. Dôvodom je, že kolaboratívna a decentralizovaná povaha komunity s otvoreným zdrojovým kódom znamená, že informácie a aktualizácie týkajúce sa zraniteľností s otvoreným zdrojom sú uverejňované na stovkách zdrojov. Takýto druh informácií nie je možné sledovať manuálne, najmä ak vezmeme do úvahy objem používania otvorených zdrojov.
Ako sa dostať dopredu v zabezpečení otvorených zdrojov
Neustále zvyšovanie zraniteľnosti otvorených zdrojov je výzvou, ktorú musia organizácie čeliť priamo, vzhľadom na to, ako sa stalo bežné používanie otvorených zdrojov. Zatiaľ čo vysoký počet slabých miest v otvorenom zdroji vrátane najpopulárnejších projektov sa môže zdať ohromujúci, učenie o tom, ako komunita riadi bezpečnosť otvoreného zdroja, je krok správnym smerom.
Ďalším krokom je akceptovanie toho, že správa zabezpečenia s otvoreným zdrojovým kódom prichádza s iným súborom pravidiel, nástrojov a postupov, ako je zabezpečenie komerčných alebo vlastníckych komponentov. Držanie sa rovnakých programov a nástrojov na správu zraniteľností nepomôže pri správe zabezpečenia s otvoreným zdrojom.
Prijatie politiky zabezpečenia otvoreného zdroja, ktorá sa zameriava na tieto rozdiely, a začlenenie správnych technológií na automatizáciu ich riadenia pomôže tímom bezpečnosti a vývoja čeliť jedinečným výzvam zraniteľností typu open source, čo im umožní vrátiť sa k podnikaniu v oblasti budovania skvelého softvéru.