Tartalom
- Nyílt forráskódú bárhol
- Nyílt forráskódú biztonsági rések: Az eredmények be vannak mutatva
- Mi a legsebezhetőbb mindegyik közül?
- Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
- A nyílt forráskódú sérülékenységek vadnyugata
- A nyílt forráskódú közösség a biztonság tetején van - most a felhasználóknak fel kell készülniük
- Hogyan lehet előre lépni a nyílt forráskódú biztonságban
Elvitel:
A nyílt forráskódú összetevők kiválóan alkalmasak a szoftverek felépítésére, de az azokon belüli biztonsági rések veszélyeztethetik az egész szervezetet. Ismerje meg a kockázatokat és maradjon naprakész a nyílt forráskódú biztonsági megoldásokkal, hogy megvédje magát és vállalkozását.
Mivel a fejlesztői csapatok versenyeznek a szoftvergyártás versenyszintjének lépéseivel, a nyílt forrású összetevők minden fejlesztő eszköztárának szerves részévé váltak, segítve őket innovatív termékek létrehozásában és szállításában a DevOps sebességével.
A nyílt forráskódú felhasználás következetes növekedése, valamint az olyan címsoros adatok megsértése, mint például az Equifax megsértése, amely kiaknázta a nyílt forrású összetevők sérülékenységét, végre olyan szervezetekkel rendelkezik, amelyek készen állnak a nyílt forráskódú biztonság kezelésére és a nyílt forráskódú veszélyek vadnyugatának kezelésére. A kérdés azonban az, hogy tudják-e, hol kezdjék. (További információkért lásd: Minőségi vs kvantitatív: Ideje változtatni, hogyan kell felmérni a harmadik féltől származó sérülékenységek súlyosságát?)
Nyílt forráskódú bárhol
A WhiteSource nemrég közzétette a nyílt forráskódú biztonsági rés menedzsment jelentését, hogy betekintést nyújtson a szervezetek jobb megértéséhez a nyílt forráskódú biztonság megközelítésében. A jelentés szerint, amely magában foglalta a nyílt forráskódú felhasználásról szóló, az Egyesült Államokból és Nyugat-Európából származó 650 fejlesztő körében végzett felmérés eredményeit, a fejlesztõk 87,4 százaléka támaszkodik a nyílt forráskódú komponensekre „nagyon gyakran” vagy „minden alkalommal”. További 9,4 százalékuk azt válaszolta, hogy „néha” nyílt forrású összetevőket használnak. Kiemelkedő volt az, hogy a résztvevők mindössze 3,2% -a válaszolt arra, hogy soha nem használnak nyílt forráskódú szoftvert, ami valószínűleg a vállalati politika eredményeként jött létre.
Ezek a számok kétségtelenül bizonyítják, hogy egy szoftverprojekttel foglalkozó fejlesztő valószínűleg kiaknázza a nyílt forrású összetevőket.
Nyílt forráskódú biztonsági rések: Az eredmények be vannak mutatva
A jelentés mélyen bemélyült a WhiteSource nyílt forráskódú adatbázisába is, amelyet a Nemzeti biztonsági rés adatbázisából (NVD), a biztonsági tanácsokból, a szakterületen felülvizsgált sebezhetőségi adatbázisokból és a népszerű nyílt forráskódú nyomkövetőkből állítottak össze, hogy megismerjék a fejlesztői csoportok által igényelt nyílt forrású biztonsági réseket. foglalkozni vele.
Az eredmények azt mutatták, hogy az ismert nyílt forráskódú biztonsági rések száma 2017-ben minden idők legmagasabb pontját jelentette, közel 3500 sérülékenységgel. Ez a nyilvánosságra hozott nyílt forráskódú sérülékenységek számának több mint 60 százalékos növekedése 2016-hoz képest, és a tendencia nem utal arra, hogy 2018-ban lassulni fog.
Mi a legsebezhetőbb mindegyik közül?
A kutatás az adatbázisba is bekerült, hogy megtalálják a legsebezhetőbb nyílt forráskódú projekteket, és meglepő eredményekkel szolgáltak. Míg az összes nyílt forráskódú projekt 7,5% -a sebezhető, addig a 100 legnépszerűbb nyílt forráskódú projekt 32% -ának legalább egy sebezhetősége van.
Míg egy sebezhetőség elegendő a több könyvtár veszélyeztetéséhez, a sérülékeny nyílt forráskódú projekt átlagosan nyolc sebezhetőséget tartalmaz. Ez azt jelenti, hogy a legnépszerűbb nyílt forráskódú projektek gyakran azok is, amelyeknél magas a sérülékenység.
Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.
Ez a betekintés még világosabbá válik, ha áttekinti a tíz legfontosabb olyan nyílt forráskódú projektet, amelyekben a legtöbb nyílt forráskódú sebezhetőség van. Az első tíz lista rendkívül népszerű nyílt forráskódú projektekből áll, amelyeket sokan használunk.
Ezeknek a projekteknek egynél több közös vonása van: többségük internetre néző, széles támadásfelületű, front-end összetevők, amelyek nagyon ki vannak téve, így viszonylag könnyen használhatóak. Ezért vonzzák a nyílt forráskódú biztonsági kutatóközösség nagy figyelmét.
Egy másik szempont, amellyel ezekben a projektekben sokan osztoznak, az a, hogy a legtöbbet kereskedelmi vállalatok támogatják. Tekintettel a mögöttük lévő tétre és forrásokra, feltehetjük a kérdést: Hogyan lehetnek ilyen veszélyeztetett projektek az ilyen nagy szereplők által támogatott projektek?
A nyílt forráskódú sérülékenységek vadnyugata
A múltban a nyílt forráskódú sérülékenységek felfedezése élénk vitát keltett fel arról, hogy a nyílt forráskódú komponenseket karbantartják-e eléggé biztonságosan a használatra. Szerencsére ezek a napok véget értek, és ma tudjuk, hogy a bejelentett nyílt forráskódú sebezhetőségek növekedése azt mutatja, hogy a nyílt forráskódú közösség és a biztonsági közösség milyen gyorsan reagál a fenyegetési táj megtartására.
A nyílt forráskódú közösség exponenciális növekedése, valamint a vadon népszerű komponensek hírhedt nyílt forráskódú sérülékenységeinek késői felfedezése, mint például azok, amelyek lehetővé tették a Heartbleed számára, hogy felgyorsuljanak, a nyílt forráskódú biztonság fokozott tudatosságát eredményezték, és a nyílt forráskódot elemző kutatók serege projektek a biztonsági résekre, valamint a gyors javítások megfordítása.
Valójában a WhiteSource jelentés megállapította, hogy az összes jelentett sebezhetőség 97% -ának legalább egy javasolt javítása van a nyílt forráskódú közösségben, a biztonsági frissítéseket általában a biztonsági rés közzétételét követő napokban teszik közzé. (Ha többet szeretne megtudni a nyílt forrásból, nézd meg a nyílt forráskódot: túl jó ahhoz, hogy igaz legyen?)
A nyílt forráskódú közösség a biztonság tetején van - most a felhasználóknak fel kell készülniük
Noha a nyílt forráskódú közösség együttműködése és a nyílt forráskódú biztonság fejlesztése érdekében tett erőfeszítések egyértelműen eredményeket mutatnak a sebezhetőség felfedezése, közzététele és a gyors javítások terén, a felhasználóknak nehéz a lépést tartani, mivel a nyílt forrású közösség decentralizált jellegű.
Amikor a fejlesztők kereskedelmi szoftveres összetevőket használnak, a verziófrissítések a szolgáltatás részét képezik, amelyért fizetnek, és a gyártók nagyon ügyesen tudnak gondoskodni arról, hogy látják.
A nyílt forráskód nem így működik. A WhiteSource adatok azt mutatták, hogy a jelentett nyílt forráskódú sérülékenységeknek csak 86% -a jelenik meg a CVE adatbázisban. Ennek oka az, hogy a nyílt forráskódú közösség együttműködő és decentralizált jellege azt jelenti, hogy a nyílt forráskódú biztonsági résekkel kapcsolatos információkat és frissítéseket több száz forrás közzéteszi. Az ilyen információt nem lehet manuálisan nyomon követni, különösen, ha figyelembe vesszük a nyílt forráskódú felhasználás mértékét.
Hogyan lehet előre lépni a nyílt forráskódú biztonságban
A nyílt forráskódú sérülékenységek folyamatos növekedése olyan kihívás, amelyre a szervezeteknek teljes figyelmet kell fordítaniuk, figyelembe véve, hogy mire vált a nyílt forráskód használat. Noha a nyílt forráskódú sérülékenységek nagy száma, beleértve a legnépszerűbb projekteket is, elsöprőnek tűnhet, a helyes irányba lépés a közösség nyílt forráskódú biztonság kezelésének módjának megtanulása.
A következő lépés annak elfogadása, hogy a nyílt forráskódú biztonságkezelés eltérő szabályokkal, eszközökkel és gyakorlatokkal jár, mint a kereskedelmi vagy tulajdonosi elemek biztosítása. Ugyanazon biztonsági réskezelő programok és eszközök betartása nem fog segíteni a nyílt forráskódú biztonságkezelésben.
Ezeket a különbségeket kezelő nyílt forráskódú biztonsági politika elfogadása és a megfelelő technológiák beépítése a menedzsment automatizálásához segítséget nyújt a biztonsági és fejlesztési csapatoknak a nyílt forráskódú biztonsági rések egyedülálló kihívásainak szembenézésében, lehetővé téve számukra, hogy visszatérjenek a nagyszerű szoftverek építéséhez.