Conţinut
- Open Source pretutindeni
- Vulnerabilități open source: rezultatele sunt
- Care este cel mai vulnerabil dintre toate?
- Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața
- Vestul sălbatic al vulnerabilităților Open Source
- Comunitatea Open Source este în vârf de securitate - acum utilizatorii trebuie să fie la curent
- Cum să te descurci în securitate open source
La pachet:
Componentele open source sunt o modalitate excelentă de a construi software, dar vulnerabilitățile din cadrul acestora ar putea pune în pericol întreaga organizație. Cunoașteți riscurile și rămâneți la curent cu soluțiile de securitate open source pentru a vă proteja pe dvs. și afacerea dvs.
Pe măsură ce echipele de dezvoltare se ocupă să țină pasul competitiv cu producția de software, componentele open source au devenit o parte integrantă a setului de instrumente al fiecărui dezvoltator, ajutându-le să creeze și să livreze produse inovatoare la viteza DevOps.
Creșterea constantă a utilizării surselor deschise, împreună cu încălcările de date prin apariția titlurilor precum breșa Equifax care a exploatat vulnerabilitățile componentelor open source, poate avea în sfârșit organizații gata să gestioneze securitatea open source și să abordeze Wild West de vulnerabilitățile open source. Întrebarea este însă dacă știu de unde să înceapă. (Pentru a afla mai multe, consultați Calitativ vs cantitativ: Timpul de schimbare Cum evaluăm gravitatea vulnerabilităților terților?)
Open Source pretutindeni
WhiteSource a publicat recent Raportul de gestionare a vulnerabilității la sursă deschisă pentru a oferi informații pentru a ajuta organizațiile să înțeleagă mai bine cum să abordeze securitatea surselor deschise. Potrivit raportului, care a inclus rezultatele unui sondaj privind utilizarea surselor deschise, efectuat între 650 de dezvoltatori din SUA și Europa de Vest, 87,4 la sută dintre dezvoltatori se bazează pe componente open source „foarte des” sau „tot timpul. Un alt 9,4% a răspuns că „uneori” folosesc componente open source. Ceea ce s-a evidențiat a fost faptul că doar 3,2% dintre participanți au răspuns că nu folosesc niciodată open source, ceea ce a fost considerat probabil ca urmare a politicii companiei.
Aceste numere dovedesc în mod clar, fără îndoială, că un dezvoltator care lucrează la un proiect software utilizează cel mai probabil componentele open source.
Vulnerabilități open source: rezultatele sunt
De asemenea, raportul s-a adâncit în baza de date open source WhiteSource, care este agregată din baza de date națională a vulnerabilităților (NVD), consultanțe de securitate, baze de date cu vulnerabilități revizuite de la egalitate și urmăriri populare ale problemelor open source, pentru a afla despre vulnerabilitățile open source de care au nevoie echipele de dezvoltare de a face fata.
Rezultatele au arătat că numărul de vulnerabilități ale surselor deschise cunoscute a atins un nivel constant în 2017, cu aproape 3.500 de vulnerabilități. Aceasta este o creștere cu peste 60% a numărului de vulnerabilități open source dezvăluite în comparație cu 2016, iar tendința nu arată niciun semn de încetinire în 2018.
Care este cel mai vulnerabil dintre toate?
De asemenea, cercetarea a intrat în baza de date pentru a găsi cele mai vulnerabile proiecte open source și a obținut rezultate surprinzătoare. În timp ce 7,5% din toate proiectele open source sunt vulnerabile, 32% din primele 100 de proiecte open source cele mai populare au cel puțin o vulnerabilitate.
Deși o vulnerabilitate este suficientă pentru a pune mai multe biblioteci în pericol, un proiect open source vulnerabil conține în medie opt vulnerabilități. Aceasta înseamnă că cele mai populare proiecte open source sunt adesea și cele care prezintă un nivel ridicat de vulnerabilități.
Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața
Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.
Această perspectivă devine și mai clară atunci când analizăm lista celor mai bune 10 proiecte open source cu cel mai mare număr de vulnerabilități open source. Top 10 lista include proiecte open source extrem de populare pe care mulți dintre noi le utilizăm.
Aceste proiecte au mai mult de un lucru în comun: majoritatea sunt componente front-end, cu front-wide, suprafețe de atac foarte expuse, ceea ce le face relativ ușor de exploatat. Acesta este motivul pentru care atrag o mulțime de atenții ale comunității de cercetare în domeniul securității open source.
Un alt aspect pe care multe dintre aceste proiecte îl împărtășesc este acela că majoritatea sunt susținute de companii comerciale. Având în vedere mizele și resursele din spatele lor, se poate întreba: Cum ar putea fi atât de vulnerabile proiectele susținute de atât de mari jucători?
Vestul sălbatic al vulnerabilităților Open Source
În trecut, descoperirea vulnerabilităților open source ar trezi o dezbatere aprinsă dacă componentele open source sunt menținute suficient de bine pentru a fi sigure pentru utilizare. Din fericire, acele zile s-au terminat și astăzi știm că creșterea vulnerabilităților open source raportate demonstrează cât de rapid răspund comunitatea open source și comunitatea de securitate pentru a ține pasul cu amenințarea amenințării.
Creșterea exponențială a comunității open source, alături de descoperirea târzie a notorilor vulnerabilități open source în componente sălbatic populare, precum cele care au permis Heartbleed să prospere, au adus o conștientizare mai mare a securității open source și o armată de cercetători care analizează open source proiecte pentru vulnerabilități, precum și o schimbare rapidă pentru remedieri.
De fapt, raportul WhiteSource a constatat că 97 la sută din toate vulnerabilitățile raportate au cel puțin o soluție sugerată în comunitatea open source, actualizările de securitate fiind publicate de obicei în câteva zile de la publicarea unei vulnerabilități. (Pentru mai multe despre open source, consultați Open Source: Este prea bun să fie adevărat?)
Comunitatea Open Source este în vârf de securitate - acum utilizatorii trebuie să fie la curent
Deși colaborarea comunității open source și eforturile de îmbunătățire a securității open source arată cu siguranță rezultate în ceea ce privește descoperirea vulnerabilității, dezvăluirea și remedieri rapide, este dificil pentru utilizatori să țină pasul, datorită naturii descentralizate a comunității open source.
Atunci când dezvoltatorii folosesc componente software comerciale, actualizările de versiune sunt o parte a serviciului pe care îl plătesc, iar furnizorii pot fi destul de apăsători pentru a vă asigura că îl vedeți.
Nu este modul în care funcționează open source. Datele WhiteSource care au arătat că doar 86 la sută din vulnerabilitățile open source raportate apar în baza de date CVE. Acest lucru se datorează faptului că natura colaborativă și descentralizată a comunității open source înseamnă că informațiile și actualizările despre vulnerabilitățile open source sunt publicate pe sute de resurse. Acest tip de informații este imposibil de urmărit manual, mai ales când avem în vedere volumul de utilizare a surselor deschise.
Cum să te descurci în securitate open source
Creșterea consecventă a vulnerabilităților open source este o provocare pe care organizațiile trebuie să o abordeze, luând în considerare modul în care a devenit uz obișnuit open source. În timp ce numărul mare de vulnerabilități open source, inclusiv cele mai populare proiecte, poate părea copleșitor, învățarea modului în care comunitatea gestionează securitatea open source este un pas în direcția bună.
Următorul pas este acceptarea faptului că gestionarea securității open source vine cu un set diferit de reguli, instrumente și practici decât securizarea componentelor comerciale sau proprietate. Lipirea acelorași programe și instrumente de gestionare a vulnerabilităților nu va ajuta la gestionarea securității open source.
Adoptarea unei politici de securitate open source care să abordeze aceste diferențe și să încorporeze tehnologiile potrivite pentru a-și automatiza managementul va ajuta echipele de securitate și dezvoltare să facă față provocărilor unice ale vulnerabilităților open source, permițându-le să revină la activitatea de a construi software excelent.