Otvoreni izvori otvorenog koda su u porastu: evo što trebate znati

Sadržaj

• Open Source Everywhere
• Ranjivosti otvorenog koda: rezultati su u
• Što je od svih njih najugroženije?
• Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
• Divlji zapad otvorenih izvora
• Zajednica otvorenog koda je na vrhu sigurnosti - sada je korisnici trebaju nadoknaditi
• Kako doći do naprijed u sigurnosti otvorenog koda

Oduzeti:

Komponente otvorenog koda odličan su način za izgradnju softvera, ali ranjivosti unutar njih mogu ugroziti cijelu vašu organizaciju. Upoznajte rizike i budite u toku sa sigurnosnim rješenjima otvorenog koda kako biste zaštitili sebe i svoje poslovanje.

Kako se razvojni timovi natječu da budu ukorak s konkurentnim tempom proizvodnje softvera, komponente otvorenog koda postale su sastavni dio svakog alata za razvojne programere, pomažući im u kreiranju i isporuci inovativnih proizvoda brzinom DevOps.

Dosljedan porast korištenja otvorenog koda, zajedno s kršenjima podataka o zagradi naslova poput kršenja Equifaxa koji su iskorištavali ranjivosti u komponentama otvorenog koda, konačno bi organizacije mogle biti spremne upravljati sigurnošću otvorenog koda i rješavati se na Divljem zapadu ranjivosti. Pitanje je, međutim, znaju li gdje početi. (Da biste saznali više, pogledajte Kvalitativni vs Kvantitativni: vrijeme za promjenu kako procjenjujemo ozbiljnost ranjivosti treće strane?)

Open Source Everywhere

WhiteSource je nedavno objavio Izvješće o upravljanju ranjivim podacima otvorenog koda radi pružanja uvida kako pomoći organizacijama da bolje razumiju kako pristupiti sigurnosti otvorenog koda. Prema izvješću, koje je obuhvatilo rezultate ankete o korištenju otvorenog koda provedeno među 650 programera iz SAD-a i zapadne Europe, ogromnih 87,4 posto programera se "vrlo često" ili "stalno" oslanja na otvorene komponente. “Još 9,4 posto odgovorilo je da" ponekad "koriste komponente otvorenog koda. Izdvojilo je da je samo 3,2 posto sudionika odgovorilo da nikada ne koriste open source, za što se smatra da je posljedica politike poduzeća.

Ovi brojevi nedvojbeno dokazuju da programer koji radi na softverskom projektu najvjerojatnije koristi komponente otvorenog koda.

Ranjivosti otvorenog koda: rezultati su u

Izvješće je također duboko ušlo u WhiteSource open source bazu podataka koja je sakupljena iz Nacionalne baze podataka o ranjivosti (NVD), sigurnosnih savjeta, recenziranih baza podataka o ranjivosti i popularnih pratilaca otvorenih izvora kako bi se naučilo o ranjivosti otvorenog koda koje su potrebne razvojnim timovima. nositi se sa.

Rezultati su pokazali da je broj poznatih ranjivosti otvorenog koda u 2017. godini dostigao vrhunski napredak s gotovo 3.500 ranjivosti. To je porast broja otkrivenih ranjivosti otvorenog koda za preko 60 posto u odnosu na 2016., a taj trend ne pokazuje znake usporavanja u 2018. godini.

Što je od svih njih najugroženije?

Istraživanje je također duboko ušlo u bazu podataka kako bi se pronašli najosjetljiviji projekti otvorenog koda i došlo do iznenađujućih rezultata. Iako je 7,5 posto svih projekata otvorenog koda ranjivo, 32 posto najboljih 100 najpopularnijih projekata otvorenog koda ima najmanje jednu ranjivost.

Iako je jedna ranjivost dovoljna da rizikuje više knjižnica, ranjivi projekt otvorenog koda sadrži u prosjeku osam ranjivosti. To znači da su najpopularniji otvoreni projekti često i oni koji imaju veliku ranjivost.

Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života

Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.

Taj uvid postaje još jasniji kada pogledamo popis 10 najboljih projekata otvorenog koda s najvećim brojem otvorenih izvora. Lista najboljih 10 uključuje izuzetno popularne projekte otvorenog koda koji mnogi od nas koriste.

Ovi projekti imaju više zajedničkih stvari: Većina ih je okrenuta prema internetu, prednje komponente sa širokim napadnim površinama koje su vrlo izložene, što ih čini relativno jednostavnim za eksploataciju. Zato oni privlače veliku pažnju istraživačke zajednice za zaštitu otvorenog koda.

Drugi aspekt koji mnogi od ovih projekata dijele jest taj da većinu imaju podrška komercijalnih tvrtki. S obzirom na uloge i resurse koji stoje iza njih, može se zapitati: Kako projekti koje podržavaju tako veliki igrači mogu biti toliko ranjivi?

Divlji zapad otvorenih izvora

U prošlosti bi otkriće ranjivosti otvorenog koda probudilo živahnu raspravu o tome održavaju li se komponente otvorenog koda dovoljno dobro da budu sigurne za upotrebu. Srećom, ti su dani prošli, a danas znamo da porast prijavljenih ranjivosti otvorenog koda pokazuje koliko brzo zajednica otvorenog koda i zajednica sigurnosti reagiraju kako bi išli ukorak s krajolikom prijetnji.

Eksponencijalni rast zajednice otvorenih izvora zajedno s kasnim otkrivanjem zloglasnih ranjivosti otvorenog koda u divljim popularnim komponentama, poput onih kojima je Heartbleed mogao napredovati, doveo je do pojačane svijesti o sigurnosti otvorenog koda i armiji istraživača koji su analizirali otvoreni izvor projekti za ranjivosti, kao i brzi korak za popravke.

Zapravo, WhiteSource izvješće otkrilo je da 97 posto svih prijavljenih ranjivosti ima barem jedan predloženi popravak u zajednici otvorenog koda, pri čemu se sigurnosna ažuriranja obično objavljuju u roku od nekoliko dana od objave ranjivosti. (Za više informacija o otvorenom kodu, pogledajte Open Source: Je li previše dobro da bude istinito?)

Zajednica otvorenog koda je na vrhu sigurnosti - sada je korisnici trebaju nadoknaditi

Iako suradnja zajednice i otvoreni izvori na poboljšanju sigurnosti otvorenog koda definitivno pokazuju rezultate u smislu otkrivanja ranjivosti, otkrivanja i brzih popravaka, korisnici je teško držati korak, zbog decentralizirane prirode zajednice otvorenog koda.

Kada programeri koriste komponente komercijalnog softvera, ažuriranja verzija dio su usluge koju plaćaju, a dobavljači mogu biti dosta naporni u pogledu provjere da je vidite.

To ne funkcionira s otvorenim kodom Podaci WhiteSource-a koji su pokazali da se samo 86 posto prijavljenih ranjivosti pojavljuje u bazi CVE. To je zato što suradnička i decentralizirana priroda zajednice otvorenog koda znači da se informacije i ažuriranja o ranjivim izvorima otvorenih izvora objavljuju na stotinama resursa. Takve informacije je nemoguće ručno pratiti, pogotovo ako uzmemo u obzir količinu otvorenog koda.

Kako doći do naprijed u sigurnosti otvorenog koda

Dosljedni porast ranjivosti otvorenog koda izazov je s kojim se organizacije moraju suočiti s obzirom na to koliko je uobičajena upotreba otvorenog koda postala. Iako se veliki broj ranjivih izvora, uključujući najpopularnije projekte, može činiti neodoljivim, učenje načina na koji zajednica upravlja sigurnošću otvorenog koda korak je u pravom smjeru.

Sljedeći je korak prihvaćanje da upravljanje otvorenim kodom sigurnosti dolazi s drugačijim nizom pravila, alata i praksi od osiguranja komercijalnih ili vlasničkih komponenti. Pridržavanje istih programa i alata za upravljanje ranjivošću neće pomoći upravljanju sigurnošću otvorenog koda.

Usvajanje sigurnosnih politika otvorenog koda koje se bave tim razlikama i uključivanjem pravih tehnologija za automatizaciju njihovog upravljanja pomoći će sigurnosnim i razvojnim timovima da se suoče s jedinstvenim izazovima ranjivosti otvorenog koda, što će im omogućiti da se vrate u posao izrade sjajnog softvera.