Atklātā pirmkoda ievainojamības pieaug: lūk, kas jums jāzina

Saturs

• Atklātais avots visur
• Atvērtā koda ievainojamības: rezultāti ir
• Kas ir visneaizsargātākais no tiem visiem?
• Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
• Atvērto avotu ievainojamību savvaļas rietumi
• Atklātā pirmkoda kopiena ir visaugstākā drošībā - tagad lietotājiem ir jāgatavojas
• Kā nokļūt uz priekšu atvērtā koda drošībā

Izņemšana:

Atklātā pirmkoda komponenti ir lielisks programmatūras veidošanas veids, taču tajos esošās ievainojamības var apdraudēt visu jūsu organizāciju. Ziniet riskus un sekojiet līdzi atvērtā koda drošības risinājumiem, lai aizsargātu sevi un savu biznesu.

Tā kā attīstības komandas sacenšas sekot programmatūras ražošanas konkurences tempam, atvērtā pirmkoda komponenti ir kļuvuši par katra izstrādātāja instrumentu kopuma neatņemamu sastāvdaļu, palīdzot viņiem radīt un piegādāt inovatīvus produktus ar DevOps ātrumu.

Pastāvīgais atklātā pirmkoda lietojuma pieaugums, kā arī tādi datu pārkāpumi kā virsraksts, piemēram, Equifax pārkāpums, kas izmantoja atvērtā pirmkoda komponentu ievainojamības, beidzot var būt organizācijas, kas ir gatavas pārvaldīt atvērtā pirmkoda drošību un pievērsties atvērtā pirmkoda ievainojamību savvaļas rietumiem. Tomēr jautājums ir par to, vai viņi zina, kur sākt. (Lai uzzinātu vairāk, skatiet sadaļu Kvalitatīvais vs kvantitatīvais: laiks mainīt, kā mēs novērtējam trešo personu ievainojamību nopietnību?)

Atklātais avots visur

WhiteSource nesen publicēja ziņojumu par atvērtā pirmkoda ievainojamības pārvaldības ziņojumu, lai sniegtu ieskatu, kas palīdzētu organizācijām labāk izprast, kā tuvināties atvērtā pirmkoda drošībai. Saskaņā ar ziņojumu, kurā bija iekļauti 650 izstrādātāju no ASV un Rietumeiropas veiktās aptaujas rezultāti par atvērtā koda izmantošanu, 87,4 procenti izstrādātāju paļaujas uz atvērtā pirmkoda komponentiem “ļoti bieži” vai “visu laiku”. Vēl 9,4 procenti atbildēja, ka viņi “dažreiz” izmanto atvērtā koda komponentus. Izcēlās tas, ka tikai 3,2 procenti dalībnieku atbildēja, ka viņi nekad neizmanto atvērto avotu, kas, domājams, ir uzņēmuma politikas rezultāts.

Šie skaitļi nepārprotami pierāda, ka izstrādātājs, kurš strādā pie programmatūras projekta, visticamāk, izmanto atvērtā pirmkoda komponentus.

Atvērtā koda ievainojamības: rezultāti ir

Ziņojums dziļi iedziļinājās arī WhiteSource atvērtā koda datu bāzē, kas ir apkopota no Nacionālās ievainojamības datu bāzes (NVD), drošības ieteikumiem, recenzētām ievainojamības datu bāzēm un populāriem atvērtā pirmkoda izsekotājiem, lai uzzinātu par atklātā pirmkoda ievainojamībām, kas nepieciešamas attīstības komandām. tikt galā ar.

Rezultāti parādīja, ka zināmo atvērtā koda ievainojamību skaits 2017. gadā sasniedza visu laiku augstāko līmeni ar gandrīz 3500 ievainojamībām. Tas ir atklāto atvērto avotu ievainojamību skaita pieaugums par vairāk nekā 60 procentiem salīdzinājumā ar 2016. gadu, un tendence neliecina par palēnināšanos 2018. gadā.

Kas ir visneaizsargātākais no tiem visiem?

Pētījums ienāca arī datu bāzē, lai atrastu visneaizsargātākos atvērtā koda projektus, un nāca klajā ar pārsteidzošiem rezultātiem. Lai gan 7,5 procenti no visiem atvērtā pirmkoda projektiem ir neaizsargāti, 32 procentiem no 100 populārākajiem atvērtā pirmkoda projektiem ir vismaz viena ievainojamība.

Lai arī viena neaizsargātība ir pietiekama, lai apdraudētu vairākas bibliotēkas, neaizsargātā atvērtā koda projektā ir vidēji astoņas ievainojamības. Tas nozīmē, ka populārākie atvērtā koda projekti bieži vien ir arī tie, kuros ir liela neaizsargātība.

Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi

Jūs nevarat uzlabot savas programmēšanas prasmes, kad nevienam nerūp programmatūras kvalitāte.

Šis ieskats kļūst vēl skaidrāks, aplūkojot desmit labāko atvērtā pirmkoda projektu sarakstu ar vislielāko atvērtā koda ievainojamību skaitu. 10 labāko sarakstā ir īpaši populāri atvērtā koda projekti, kurus daudzi no mums izmanto.

Šiem projektiem ir vairāk nekā viena kopīga iezīme: Lielākā daļa no tiem ir vērsti pret internetu, priekšējās daļas ar plašu uzbrukuma virsmu, kas ir ļoti pakļauti, padarot tos salīdzinoši viegli izmantojamus. Tāpēc viņi piesaista lielu uzmanību atvērtā koda drošības pētniecības kopienas uzmanību.

Vēl viens aspekts, kas ir kopīgs daudziem no šiem projektiem, ir tas, ka lielāko daļu atbalsta komercuzņēmumi. Ņemot vērā likmes un aiz tām esošos resursus, var jautāt: kā tik lielu dalībnieku atbalstīti projekti varētu būt tik neaizsargāti?

Atvērto avotu ievainojamību savvaļas rietumi

Agrāk atklātā pirmkoda ievainojamību atklāšana pamodināja dzīvas debates par to, vai atvērtā pirmkoda komponenti tiek uzturēti pietiekami labi, lai būtu droši lietošanai. Par laimi, šīs dienas ir beigušās, un šodien mēs zinām, ka paziņoto atvērtā koda ievainojamību pieaugums parāda, cik ātri atvērtā pirmkoda kopiena un drošības kopiena reaģē, lai neatpaliktu no draudu ainavas.

Atklātā pirmkoda sabiedrības eksponenciālā izaugsme līdz ar vēlu atklājušos bēdīgi slavenos atklātā pirmkoda ievainojamības mežonīgi populāros komponentos, piemēram, tādos, kas ļāva plaukt Heartbleed, ir radījusi paaugstinātu izpratni par atvērtā pirmkoda drošību, un pētnieku armija analizē atvērto avotu projekti ievainojamību novēršanai, kā arī ātrs labojumu labojums.

Faktiski WhiteSource ziņojumā tika atklāts, ka 97 procentiem no visām ziņotajām ievainojamībām ir vismaz viens ieteiktais labojums atvērtā koda kopienā, un drošības atjauninājumi parasti tiek publicēti dienu laikā pēc ievainojamības publicēšanas. (Lai uzzinātu vairāk par atvērto avotu, skatiet Open Source: vai tas ir pārāk labi, lai būtu patiesība?)

Atklātā pirmkoda kopiena ir visaugstākā drošībā - tagad lietotājiem ir jāgatavojas

Lai gan atvērtā pirmkoda kopienas sadarbība un centieni uzlabot atvērtā pirmkoda drošību noteikti parāda rezultātus ievainojamības atklāšanas, izpaušanas un ātru labojumu ziņā, lietotājiem ir grūti sekot līdzi, ņemot vērā atvērtā pirmkoda kopienas decentralizēto raksturu.

Kad izstrādātāji izmanto komerciālas programmatūras komponentus, versiju atjauninājumi ir daļa no pakalpojuma, par kuru viņi maksā, un pārdevēji var būt daudz uzmundrinoši pārliecināties, ka redzat to.

Atklātais avots darbojas šādi. WhiteSource dati, kas parādīja, ka tikai 86 procenti no atklātā avota ievainojamībām parādās CVE datu bāzē. Tas notiek tāpēc, ka atvērtā pirmkoda kopienas sadarbība un decentralizācija nozīmē, ka informācija un atjauninājumi par atvērtā pirmkoda ievainojamībām tiek publicēti simtiem resursu. Šāda veida informāciju nav iespējams izsekot manuāli, it īpaši, ja ņemam vērā atvērtā koda lietojuma apjomu.

Kā nokļūt uz priekšu atvērtā koda drošībā

Pastāvīgais atvērtā pirmkoda ievainojamību pieaugums ir izaicinājums, kas organizācijām ir jārisina, ņemot vērā to, kā kļuvusi izplatīta atvērtā koda izmantošana. Kaut arī lielais atvērtā koda ievainojamību skaits, ieskaitot vispopulārākos projektus, varētu šķist milzīgs, iemācīties veidu, kā sabiedrība pārvalda atvērtā pirmkoda drošību, ir solis pareizajā virzienā.

Nākamais solis ir piekrist tam, ka atklātā pirmkoda drošības pārvaldībai ir atšķirīgs noteikumu, rīku un prakses komplekts, nevis komerciālu vai patentētu komponentu nodrošināšana. Pieturēšanās pie tām pašām ievainojamības pārvaldības programmām un rīkiem nepalīdzēs ar atvērtā koda drošības pārvaldību.

Pieņemot atvērtā pirmkoda drošības politiku, kas risina šīs atšķirības, un iekļaujot pareizās tehnoloģijas, lai automatizētu to pārvaldību, drošības un attīstības komandas varēs stāties pretī unikālajiem atklātā pirmkoda ievainojamības izaicinājumiem, ļaujot viņiem atgriezties biznesā, veidojot lielisku programmatūru.