Садржај
- Опен Соурце Еверивхере
- Рањивости отвореног кода: резултати се налазе
- Шта је од њих најрањивији?
- Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
- Дивљи запад отворених извора
- Заједница отвореног кода је на врху сигурности - сада је корисници морају надокнадити
- Како доћи до напријед у сигурности отвореног кода
Одузети:
Компоненте отвореног кода су одличан начин за изградњу софтвера, али рањивости унутар њих могу угрозити читаву вашу организацију. Упознајте ризике и будите у току са безбедносним решењима отвореног кода како бисте заштитили себе и своје пословање.
Како се развојни тимови труде да буду у току са конкурентним темпом производње софтвера, компоненте отвореног кода постале су саставни део сваког алата за програмере, помажући им у креирању и испоруци иновативних производа брзином ДевОпс.
Доследни пораст употребе отвореног кода, заједно са кршењима података о загради наслова попут кршења Екуифак-а који су искориштавали рањивости у компонентама отвореног кода, коначно могу имати организације спремне да управљају безбедношћу отвореног кода и баве се дивљим западом рањивости. Питање је, међутим, да ли знају одакле почети. (Да бисте сазнали више, погледајте Квалитативни вс Квантитативни: Време за промену како процењујемо озбиљност рањивости трећих страна?)
Опен Соурце Еверивхере
ВхитеСоурце је недавно објавио Извештај о управљању рањивим изворима отвореног кода о стању у пружању увида који ће помоћи организацијама да боље схвате како да приступе сигурности отвореног кода. Према извештају, који је обухватио резултате анкете о коришћењу отвореног кода спроведеног међу 650 програмера из САД и западне Европе, огромних 87,4 процената програмера се „врло често“ или „све време“ ослања на компоненте отвореног кода. “Још 9,4 одсто одговорило је да„ понекад “користе компоненте отвореног кода. Оно што се истицало је да је само 3,2 процената учесника одговорило да никада не користе опен соурце, за што се сматра да је вероватно резултат политике компаније.
Ови бројеви очигледно доказују да програмер који ради на софтверском пројекту највероватније користи компоненте отвореног кода.
Рањивости отвореног кода: резултати се налазе
Извештај је такође ископан дубоко у ВхитеСоурце базу података отвореног кода, која је обједињена из Националне базе података о угрожености (НВД), безбедносних савета, рецензираних база података о рањивости и популарних пратилаца отвореног кода, како би сазнали о рањивим изворима отвореног кода који су потребни развојним тимовима суочити се.
Резултати су показали да је број познатих рањивости отвореног кода у 2017. години достигао највиши ниво, са готово 3.500 рањивости. То је пораст броја откривених рањивости отвореног кода за преко 60 процената у поређењу са 2016. годином, а тај тренд не показује знаке успоравања у 2018. години.
Шта је од њих најрањивији?
Истраживање је такође дубоко ушло у базу података како би се пронашли најосјетљивији пројекти отвореног кода и дошло до изненађујућих резултата. Док је 7,5 посто свих пројеката отвореног кода рањиво, 32 посто првих 100 најпопуларнијих пројеката отвореног кода има најмање једну рањивост.
Иако је једна рањивост довољна да угрози више библиотека, рањиви пројекат отвореног кода садржи у просеку осам рањивости. То значи да су најпопуларнији отворени пројекти често и они који имају велику рањивост.
Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
Не можете побољшати своје вештине програмирања када никога није брига за квалитет софтвера.
Овај увид постаје још јаснији када погледамо листу 10 најбољих пројеката отвореног кода са највећим бројем отворених извора. Листа најбољих 10 укључује изузетно популарне пројекте отвореног кода које многи од нас користе.
Ови пројекти имају више заједничких ствари: већина њих је окренута ка Интернету, предње компоненте са широким нападним површинама које су врло изложене, што их чини релативно једноставним за експлоатацију. Зато привлаче велику пажњу истраживачке заједнице за безбедност отвореног кода.
Други аспект који многи од ових пројеката деле је тај да већину подржавају комерцијалне компаније. С обзиром на улоге и ресурсе који стоје иза њих, може се поставити питање: Како пројекти које подржавају тако велики играчи могу бити толико рањиви?
Дивљи запад отворених извора
У прошлости, откривање рањивости отвореног кода пробудило би живахну расправу о томе да ли су компоненте отвореног кода одржаване довољно добро да буду безбедне за употребу. Срећом, ти су дани завршени, а данас знамо да пораст пријављених рањивости отвореног кода показује колико брзо заједница отвореног кода и заједница безбедности реагују како би били у корак са пејзажом претњи.
Експоненцијални раст заједнице отворених извора заједно са касним откривањем злогласних рањивости отвореног кода у дивљим популарним компонентама, попут оних које су омогућиле Хеартблеед-у да успева, донеле су појачану свест о безбедности отвореног кода и армију истраживача који су анализирали отворени извор пројекти за рањивости, као и брзи преокрет исправка.
У ствари, ВхитеСоурце извјештај је открио да 97 посто свих пријављених рањивости има најмање један предложени исправак у заједници отвореног кода, при чему се сигурносна ажурирања обично објављују у данима од објављивања рањивости. (За више информација о отвореном коду, погледајте Опен Соурце: Да ли је претерано добро да би било истинито?)
Заједница отвореног кода је на врху сигурности - сада је корисници морају надокнадити
Иако сарадња заједнице и напори на побољшању сигурности отвореног кода дефинитивно показују резултате у смислу откривања рањивости, обелодањивања и брзих исправки, корисници ће то тешко пратити због децентрализоване природе заједнице отвореног кода.
Када програмери користе компоненте комерцијалног софтвера, исправке верзија су део услуге коју плаћају и добављачи могу бити веома опрезни да се увере да је видите.
То не функционише на отвореном извору. Подаци ВхитеСоурце-а који су показали да се само 86 процената пријављених рањивости отвореног кода појављује у бази података ЦВЕ. То је због тога што колаборативна и децентрализована природа заједнице отвореног кода значи да се информације и ажурирања о рањивости отвореног кода објављују у стотинама ресурса. Такве информације је немогуће ручно пратити, посебно ако узмемо у обзир количину отвореног кода.
Како доћи до напријед у сигурности отвореног кода
Доследни пораст рањивости отвореног кода представља изазов са којим се организације морају позабавити, узимајући у обзир како је постала уобичајена употреба отвореног кода. Иако се велики број рањивих извора, укључујући и најпопуларније пројекте, може чинити неодољивим, учење начина на који заједница управља безбедношћу отвореног кода корак је у правом смеру.
Следећи корак је прихватање да управљање безбедношћу отвореног кода долази са другачијим сетом правила, алата и пракси од осигурања комерцијалних или власничких компоненти. Придржавање истих програма и алата за управљање рањивошћу неће помоћи при управљању безбедношћу отвореног кода.
Усвајање безбедносне политике отвореног кода која се бави тим разликама и укључивањем правих технологија за аутоматизацију њиховог управљања помоћи ће безбедносним и развојним тимовима да се суоче са јединственим изазовима рањивости отвореног кода, што ће им омогућити да се врате у посао израде сјајног софтвера.