Obsah
- Open Source všude
- Chyby zabezpečení s otevřeným zdrojovým kódem: Výsledky jsou k dispozici
- Co je nejzranitelnější ze všech?
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- Zranitelnosti divokého západu otevřených zdrojů
- Komunita s otevřeným zdrojovým kódem je na vrcholu bezpečnosti - uživatelé nyní musí dohnat
- Jak se dostat dopředu v zabezpečení open source
Odnést:
Komponenty s otevřeným zdrojovým kódem jsou skvělý způsob, jak vytvořit software, ale slabiny v nich by mohly ohrozit celou vaši organizaci. Seznamte se s riziky a informujte se o bezpečnostních řešeních s otevřeným zdrojovým kódem, která chrání vás a vaši firmu.
Protože vývojové týmy závodí, aby udržely krok s konkurenčním tempem výroby softwaru, komponenty s otevřeným zdrojovým kódem se staly nedílnou součástí nástrojů každého vývojáře a pomáhají jim vytvářet a dodávat inovativní produkty rychlostí DevOps.
Neustálý nárůst využívání otevřených zdrojů spolu s hlavními popady dat, jako je porušení systému Equifax, které zneužilo zranitelnosti v součástech s otevřeným zdrojovým kódem, může mít nakonec organizace připravené spravovat zabezpečení otevřeného zdroje a řešit zranitelnosti otevřeného zdroje na Divokém západě. Otázkou však je, zda vědí, kde začít. (Další informace naleznete v části Kvalitativní vs. Kvantitativní: Čas na změnu Jak hodnotíme závažnost zranitelností třetích stran?)
Open Source všude
Společnost WhiteSource nedávno zveřejnila zprávu o stavu chyby zabezpečení s otevřeným zdrojovým kódem, která má organizacím pomoci lépe porozumět tomu, jak přistupovat k zabezpečení otevřených zdrojů. Podle zprávy, která zahrnovala výsledky průzkumu využití open source provedeného mezi 650 vývojáři z USA a západní Evropy, se neuvěřitelných 87,4 procent vývojářů spoléhá na komponenty open source „velmi často“ nebo „po celou dobu. „Dalších 9,4 procent odpovědělo, že„ někdy “používají komponenty s otevřeným zdrojovým kódem. Vyčnívalo to, že pouze 3,2 procenta účastníků odpovědělo, že nikdy nepoužívají open source, což bylo pravděpodobně považováno za důsledek firemní politiky.
Tato čísla jednoznačně dokazují, že vývojář pracující na softwarovém projektu s největší pravděpodobností využívá komponenty open source.
Chyby zabezpečení s otevřeným zdrojovým kódem: Výsledky jsou k dispozici
Zpráva se také zabořila hluboko do databáze open source WhiteSource, která je agregována z databáze National Vulnerability Database (NVD), bezpečnostních rad, recenzovaných databází zranitelností a populárních sledovačů problémů s otevřeným zdrojovým kódem, aby se dozvěděla o zranitelnosti open source, které vývojové týmy potřebují poradit si s.
Výsledky ukázaly, že počet známých zranitelností s otevřeným zdrojovým kódem dosáhl v roce 2017 historicky nejvyšší úrovně s téměř 3 500 zranitelnostmi. To je nárůst o více než 60 procent v počtu odhalených zranitelností open source ve srovnání s rokem 2016 a tento trend nevykazuje žádné známky zpomalení v roce 2018.
Co je nejzranitelnější ze všech?
Výzkum také ponořil do databáze najít nejzranitelnější open source projekty a přišel s překvapivými výsledky. Zatímco 7,5 procenta všech projektů s otevřeným zdrojovým kódem je zranitelných, 32 procent ze 100 nejoblíbenějších projektů s otevřeným zdrojovým kódem má alespoň jednu zranitelnost.
Zatímco jedna zranitelnost postačuje k ohrožení více knihoven, zranitelný projekt s otevřeným zdrojovým kódem obsahuje v průměru osm zranitelných míst. To znamená, že nejoblíbenějšími projekty s otevřeným zdrojovým kódem jsou často také ty, které mají vysoké zranitelnosti.
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
Tento přehled je ještě jasnější, když se podíváme na seznam 10 nejlepších open source projektů s největším počtem zranitelností open source. Seznam 10 nejlepších obsahuje velmi populární open source projekty, které mnozí z nás používají.
Tyto projekty mají více než jednu věc společnou: Většina z nich jsou internetové čelní komponenty, přední části se širokými útočnými plochami, které jsou velmi exponované, což je relativně snadno využívá. To je důvod, proč přitahují mnoho pozornosti komunity pro výzkum v oblasti otevřeného zdroje.
Dalším aspektem, který mnoho z těchto projektů sdílí, je to, že většina z nich je podporována komerčními společnostmi. S ohledem na sázky a zdroje, které jsou za nimi, se může ptát: Jak by mohly být projekty podporované takovými velkými hráči tak zranitelné?
Zranitelnosti divokého západu otevřených zdrojů
V minulosti by objev zranitelností s otevřeným zdrojovým kódem vzbudil živou debatu o tom, zda jsou součásti s otevřeným zdrojovým kódem udržovány dostatečně dobře, aby byly bezpečné pro použití. Naštěstí tyto dny skončily a dnes víme, že nárůst hlášených zranitelností open source ukazuje, jak rychle komunita open source a komunita zabezpečení reagují, aby udržely krok s krajinou hrozeb.
Exponenciální růst komunity open source spolu s pozdním objevem notoricky známých zranitelností open source v divoce populárních součástech, jako jsou ty, které umožnily Heartbleed prosperovat, přinesly zvýšené povědomí o bezpečnosti open source a armáda vědců analyzujících open source projekty týkající se zranitelných míst a rychlý obrat v případě oprav.
Ve skutečnosti zpráva WhiteSource zjistila, že 97 procent všech nahlášených zranitelností má v komunitě s otevřeným zdrojovým kódem alespoň jednu navrhovanou opravu, přičemž aktualizace zabezpečení jsou obvykle zveřejňovány do několika dnů od zveřejnění chyby zabezpečení. (Více o open source najdete v Open Source: Je příliš dobré, aby to byla pravda?)
Komunita s otevřeným zdrojovým kódem je na vrcholu bezpečnosti - uživatelé nyní musí dohnat
Spolupráce a snaha komunity open source o zlepšení zabezpečení open source sice ukazují výsledky, pokud jde o odhalení zranitelnosti, odhalení a rychlé opravy, je však pro uživatele obtížné udržet krok, a to kvůli decentralizované povaze open source komunity.
Pokud vývojáři používají komerční softwarové komponenty, aktualizace verzí jsou součástí služby, kterou platí, a prodejci mohou být o to jistější, že je vidíte.
Takto nefunguje open source. Data WhiteSource, která ukázala, že v databázi CVE se objeví pouze 86 procent hlášených zranitelností s otevřeným zdrojovým kódem. Je to proto, že spolupráce a decentralizovaná povaha komunity s otevřeným zdrojovým kódem znamená, že informace a aktualizace o zranitelnostech s otevřeným zdrojovým kódem jsou zveřejňovány ve stovkách zdrojů. Tento druh informací není možné sledovat ručně, zejména když vezmeme v úvahu objem využití open source.
Jak se dostat dopředu v zabezpečení open source
Neustálý nárůst zranitelností s otevřeným zdrojovým kódem je výzvou, kterou musí organizace řešit přímo, vzhledem k tomu, jak se stalo běžné používání otevřeného zdroje. Zatímco vysoký počet zranitelností s otevřeným zdrojovým kódem, včetně nejoblíbenějších projektů, se může zdát ohromující, naučit se, jak komunita spravuje zabezpečení s otevřeným zdrojovým kódem, je krok správným směrem.
Dalším krokem je souhlas s tím, že správa zabezpečení s otevřeným zdrojovým kódem přichází s jinou sadou pravidel, nástrojů a postupů, než je zabezpečení komerčních nebo proprietárních komponent. Držení se stejných programů a nástrojů pro správu zranitelností nepomůže při správě zabezpečení s otevřeným zdrojovým kódem.
Přijetí politiky zabezpečení s otevřeným zdrojovým kódem, která tyto rozdíly řeší, a začlenění správných technologií k automatizaci jejich správy pomůže týmům zabývajícím se bezpečností a vývojem čelit jedinečným výzvám zranitelnosti s otevřeným zdrojovým kódem, což jim umožní vrátit se k podnikání v oblasti budování skvělého softwaru.