Съдържание
- Отворен код навсякъде
- Уязвимости с отворен код: резултатите са налице
- Кое е най-уязвимото от всички тях?
- Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
- Дивият запад на уязвимостите с отворен код
- Общността с отворен код е на върха на сигурността - сега потребителите трябва да наваксат
- Как да стигнем напред в сигурността с отворен код
За вкъщи:
Компонентите с отворен код са чудесен начин за изграждане на софтуер, но уязвимостите в тях могат да застрашат цялата ви организация. Познайте рисковете и бъдете в крак с решенията за сигурност с отворен код, за да защитите себе си и бизнеса си.
Тъй като екипите за разработка се надпреварват да поддържат конкурентния темп на производството на софтуер, компонентите с отворен код се превърнаха в неразделна част от инструментариума на всеки разработчик, помагайки им да създават и доставят иновативни продукти със скоростта на DevOps.
Постоянното нарастване на използването на отворен код, заедно с нарушенията на хващането на заглавия, като нарушенията на Equifax, които използваха уязвимостите в компоненти с отворен код, най-накрая може да има организации, готови да управляват сигурността на отворен код и да се справят с Дивия Запад на уязвимостите с отворен код. Въпросът е обаче дали те знаят откъде да започнат. (За да научите повече, вижте Качествен срещу Количествен: Време да промените как оценяваме тежестта на уязвимостите на трети страни?)
Отворен код навсякъде
Наскоро WhiteSource публикува доклада за управление на уязвимостта с отворен код, за да предостави прозрения, за да помогне на организациите да разберат по-добре как да подходят към сигурността на отворения код. Според доклада, който включва резултатите от проучване за използването на отворен код, проведено сред 650 разработчици от САЩ и Западна Европа, огромен 87,4% от разработчиците разчитат на компоненти с отворен код „много често“ или „през цялото време“. ”Други 9,4 процента отговориха, че“ понякога ”използват компоненти с отворен код. Това, което се открояваше, беше, че едва 3,2% от участниците отговориха, че никога не използват отворен код, което вероятно се дължи на политиката на компанията.
Тези цифри ясно доказват без съмнение, че разработчик, работещ върху софтуерен проект, най-вероятно използва предимно компоненти с отворен код.
Уязвимости с отворен код: резултатите са налице
Докладът също се заби дълбоко в базата данни с отворен код на WhiteSource, която е обобщена от Националната база данни за уязвимост (NVD), консултации по сигурността, партньорски бази данни за уязвимост и популярни проследяващи проблеми с отворен код, за да научите за уязвимостите с отворен код, от които се нуждаят екипите за развитие да се справя с.
Резултатите показаха, че броят на известните уязвими места с отворен код достигна най-високото ниво през 2017 г. с близо 3500 уязвимости. Това е ръст от над 60 процента в броя на разкритите уязвимости с отворен код в сравнение с 2016 г., а тенденцията не показва признаци на забавяне през 2018 г.
Кое е най-уязвимото от всички тях?
Изследването също се задълбочи в базата данни, за да намери най-уязвимите проекти с отворен код и донесе изненадващи резултати. Докато 7,5 процента от всички проекти с отворен код са уязвими, 32 процента от първите 100 най-популярни проекти с отворен код имат поне една уязвимост.
Докато една уязвимост е достатъчна, за да изложи на риск няколко библиотеки, уязвимият проект с отворен код съдържа средно осем уязвимости. Това означава, че най-популярните проекти с отворен код често са и тези, които са силно уязвими.
Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.
Това разбиране става още по-ясно, когато разгледаме списъка с топ 10 проекти с отворен код с най-голям брой уязвими програми с отворен код. Списъкът с топ 10 включва изключително популярни проекти с отворен код, които много от нас използват.
Тези проекти имат повече от едно общо: Повечето от тях са свързани с интернет, предни компоненти с широки атакуващи повърхности, които са много изложени, което ги прави сравнително лесни за експлоатация. Ето защо те привличат много от вниманието на общността на изследванията за сигурност с отворен код.
Друг аспект, който много от тези проекти споделят е, че повечето са подкрепени от търговски компании. Като се имат предвид залозите и ресурсите зад тях, може да се запита: Как проектите, подкрепени от толкова големи играчи, могат да бъдат толкова уязвими?
Дивият запад на уязвимостите с отворен код
В миналото откриването на уязвими места с отворен код би събудило оживен дебат дали компонентите с отворен код се поддържат достатъчно добре, за да бъдат безопасни за употреба. За щастие тези дни приключиха и днес знаем, че увеличението на отчетените уязвимости с отворен код показва колко бързо реагират общността с отворен код и общността на сигурността, за да бъдат в крак с пейзажа на заплахата.
Експоненциалният растеж на общността с отворен код, заедно с късното откриване на прословути уязвимости с отворен код в дивно популярни компоненти, като тези, които позволиха на Heartbleed да процъфтява, доведоха до повишена информираност за сигурността с отворен код и армия от изследователи, анализиращи отворен код проекти за уязвимости, както и бърз обрат за корекции.
Всъщност докладът на WhiteSource установява, че 97 процента от всички докладвани уязвимости имат поне едно предложено поправяне в общността с отворен код, като актуализациите на сигурността обикновено се публикуват в рамките на дни от публикуването на уязвимостта. (За повече информация за отворения код, вижте Отворения код: Прекалено добре ли е да е вярно?)
Общността с отворен код е на върха на сигурността - сега потребителите трябва да наваксат
Въпреки че сътрудничеството на общността с отворен код и усилията за подобряване на сигурността с отворен код определено показват резултати по отношение на откриване на уязвимост, разкриване и бързи поправки, за потребителите е трудно да продължат, поради децентрализирания характер на общността с отворен код.
Когато разработчиците използват търговски софтуерни компоненти, актуализациите на версиите са част от услугата, за която плащат, а доставчиците могат да бъдат много настоятелни да се уверят, че го виждате.
Това не работи с отворен код Данните на WhiteSource, които показват, че само 86 процента от отчетените уязвимости с отворен код се появяват в базата данни на CVE. Това е така, защото съвместният и децентрализиран характер на общността с отворен код означава, че информацията и актуализациите за уязвимите отворени източници се публикуват в стотици ресурси. Този вид информация е невъзможно да се проследи ръчно, особено когато вземем предвид обема на използване с отворен код.
Как да стигнем напред в сигурността с отворен код
Постоянното нарастване на уязвимостите с отворен код е предизвикателство, с което организациите трябва да се справят, като се има предвид как е станало честото използване на отворения код. Докато големият брой уязвими места с отворен код, включително и най-популярните проекти, може да изглежда затруднителен, научаването на начина, по който общността управлява сигурността с отворен код, е стъпка в правилната посока.
Следващата стъпка е приемането, че управлението на сигурността с отворен код идва с различен набор от правила, инструменти и практики от осигуряването на търговски или собствени компоненти. Придържането към същите програми и инструменти за управление на уязвимостта няма да помогне при управлението на сигурността с отворен код.
Приемането на политика за сигурност с отворен код, която адресира тези различия и включва правилните технологии за автоматизиране на управлението им, ще помогне на екипите за сигурност и разработка да се изправят пред уникалните предизвикателства на уязвимостите с отворен код, като им позволяват да се върнат към бизнеса по изграждането на страхотен софтуер.