Odprte ranljivosti so v porastu: tukaj je nekaj, kar morate vedeti

Video.: Vestido👗tejido a Crochet o Ganchillo Fácil para tod@s/toda talla/Crochet dress all size😘 S to 3 X L

Vsebina

Open Source Povsod
Ranljivosti z odprtim kodom: rezultati so na voljo
Kaj je najbolj ranljivo od vseh?
Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
Divji zahod ranljivosti z odprtim virom
Skupnost z odprto kodo je na vrhu varnosti - Zdaj je treba uporabnike nadomestiti
Kako priti naprej v odprtokodno varnost

Odvzem:

Komponente odprtega izvora so odličen način za gradnjo programske opreme, vendar lahko ranljivosti znotraj njih ogrozijo celotno organizacijo. Poznajte tveganja in ostanite na tekočem z varnostnimi rešitvami odprtega koda, da zaščitite sebe in svoje podjetje.

Ko se razvojne ekipe trudijo slediti konkurenčnemu tempu proizvodnje programske opreme, so odprtokodne komponente postale sestavni del orodja vsakega razvijalca, kar jim pomaga pri ustvarjanju in pošiljanju inovativnih izdelkov s hitrostjo DevOps.

Dosledno naraščanje uporabe odprtokodnih datotek, skupaj s kršitvami podatkov o zagrajevanju naslovov, kot je kršitev Equifax, ki so izkoristile ranljivosti v odprtokodnih komponentah, bo morda končno imelo organizacije, ki so pripravljene za upravljanje odprtokodne zaščite in odpravljanje divjih zahodov ranljivosti odprtega vira. Vprašanje pa je, ali vedo, kje začeti. (Če želite izvedeti več, glejte Kakovostno v primerjavi s količinsko: Čas za spremembo, kako ocenjujemo resnost ranljivosti tretjih oseb?)

Open Source Povsod

WhiteSource je pred kratkim objavil poročilo o stanju odprtokodnega upravljanja ranljivosti, da bi zagotovil vpogled, da bi organizacije bolje razumele, kako pristopiti k odprtokodni varnosti. Glede na poročilo, ki je vključevalo rezultate raziskave o uporabi odprtih kodov, izvedene med 650 razvijalci iz ZDA in zahodne Evrope, se kar 87,4 odstotka razvijalcev zanaša na „open source“ komponente „zelo pogosto“ ali „ves čas“. "Še 9,4 odstotka jih je odgovorilo, da" včasih "uporabljajo komponente odprtega vira. Izstopalo je le to, da je le 3,2 odstotka udeležencev odgovorilo, da nikoli ne uporabljajo odprtokodne programske opreme, kar naj bi bilo verjetno posledica politike podjetja.

Te številke nedvomno dokazujejo, da razvijalci, ki delajo na programskem projektu, najverjetneje uporabljajo odprtokodne komponente.

Ranljivosti z odprtim kodom: rezultati so na voljo

Poročilo se je poglobilo tudi v odprtokodno bazo podatkov WhiteSource, ki je združena z nacionalno zbirko podatkov o ranljivosti (NVD), varnostnimi nasveti, strokovno pregledanimi zbirkami podatkov o ranljivosti in priljubljenimi sledilci odprtokodnih vprašanj, da bi se seznanili z odprtokodnimi ranljivostmi, ki jih potrebujejo razvojne ekipe imeti opravka z.

Rezultati so pokazali, da je število znanih ranljivosti odprtega koda v letu 2017 doseglo ves čas visoko, skoraj 3500 ranljivosti. To je več kot 60 odstotkov povečanega števila razkritih ranljivosti odprtega koda v primerjavi z letom 2016, trend pa v letu 2018 ne kaže upočasnjevanja.

Kaj je najbolj ranljivo od vseh?

Raziskava se je poglobila tudi v bazo podatkov, da bi našla najbolj ranljive odprtokodne projekte in prišla do presenetljivih rezultatov. Medtem ko je 7,5 odstotka vseh odprtokodnih projektov ranljivih, ima 32 odstotkov prvih 100 najbolj priljubljenih odprtokodnih projektov vsaj eno ranljivost.

Medtem ko je ena ranljivost dovolj, da lahko ogrozi več knjižnic, ranljiv projekt odprtega koda vsebuje povprečno osem ranljivosti. To pomeni, da so najbolj priljubljeni odprtokodni projekti pogosto tudi tisti, ki so zelo izpostavljeni ranljivosti.

Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje

Ne morete izboljšati svojih programskih veščin, kadar nikogar ne skrbi za kakovost programske opreme.

Ta vpogled postane še bolj jasen, ko pogledamo seznam 10 najbolj odprtih kodnih projektov z najvišjim številom odprtokodnih ranljivosti. Seznam najboljših 10 vključuje izjemno priljubljene odprtokodne projekte, ki jih mnogi od nas uporabljajo.

Ti projekti imajo več skupnih stvari: večina je internetnih, sprednjih komponent s širokimi napadalnimi površinami, ki so zelo izpostavljene, zaradi česar jih je razmeroma enostavno izkoriščati. Zato pritegnejo veliko pozornosti odprtokodne raziskovalne skupnosti za varnost.

Drug vidik, ki si ga delijo številni projekti, je, da jih večina podpira komercialna podjetja. Glede na vložke in vire, ki se skrivajo, se lahko vprašate: Kako bi lahko projekti, ki jih podpirajo tako veliki igralci, tako ranljivi?

Divji zahod ranljivosti z odprtim virom

V preteklosti bi odkritje ranljivosti z odprtim kodom zbudilo živahno razpravo o tem, ali so komponente odprtega vira vzdrževane dovolj dobro, da so varne za uporabo. Na srečo so ti dnevi končani in danes vemo, da naraščanje prijavljenih ranljivosti odprtega koda dokazuje, kako hitro se odprta koda in varnostna skupnost odzivata, da ostaneta v koraku s pokrajino groženj.

Eksponentna rast odprtokodne skupnosti skupaj s poznim odkrivanjem zloglasnih ranljivosti odprtega koda v divje priljubljenih komponentah, kot so tiste, ki so omogočile Heartbleedu uspeh, je prinesla večjo zavest o varnosti odprtega vira in vojsko raziskovalcev, ki analizirajo odprtokodni vir projekti za ranljivosti, pa tudi hiter preobrat popravkov.

Dejansko je poročilo WhiteSource ugotovilo, da ima 97 odstotkov vseh prijavljenih ranljivosti vsaj en predlagani popravek v odprtokodni skupnosti, posodobitve varnosti pa so običajno objavljene v dneh po objavi ranljivosti. (Za več informacij o odprtokodni kodi si oglejte Open Source: Ali je preveč dobro, da bi bilo res?)

Skupnost z odprto kodo je na vrhu varnosti - Zdaj je treba uporabnike nadomestiti

Medtem ko sodelovanje odprte kode in prizadevanja za izboljšanje varnosti odprte kode vsekakor kažejo rezultate v smislu odkrivanja ranljivosti, razkritja in hitrih popravkov, uporabniki težko držijo korak zaradi decentralizirane narave odprtokodne skupnosti.

Ko razvijalci uporabljajo komponente komercialne programske opreme, so posodobitve različic del storitve, ki jo plačujejo, in prodajalci so lahko nadvse prepričani, da to vidijo.

Tako ne deluje odprtokodni vir. Podatki WhiteSource, ki so pokazali, da se v bazi CVE pojavlja le 86 odstotkov prijavljenih ranljivosti odprtega koda. To je zato, ker skupna in decentralizirana narava odprtokodne skupnosti pomeni, da so informacije in posodobitve o odprtokodnih ranljivostih objavljene v več sto virih. Tovrstnih informacij je nemogoče ročno slediti, zlasti če upoštevamo količino odprtokodne uporabe.

Kako priti naprej v odprtokodno varnost

Nenehno naraščanje odprtokodnih ranljivosti je izziv, s katerim se morajo organizacije spoprijeti, če upoštevamo, kako običajna je uporaba odprte kode. Čeprav se veliko število ranljivih odprtokodnih programov, vključno z najbolj priljubljenimi projekti, morda zdi pretirano, je učenje načina, kako skupnost upravlja z odprtokodno varnostjo, korak v pravo smer.

Naslednji korak je sprejetje, da upravljanje odprtokodne varnosti vsebuje drugačen nabor pravil, orodij in praks kot zavarovanje komercialnih ali lastniških komponent. Ohranjanje istih programov in orodij za upravljanje ranljivosti ne bo pomagalo pri upravljanju varnosti z odprtim kodom.

Sprejetje varnostne politike odprtega koda, ki bo odpravila te razlike, in vključitev pravih tehnologij za avtomatizacijo njihovega upravljanja bo pomagala varnostnim in razvojnim skupinam, da se soočijo z edinstvenimi izzivi odprtokodnih ranljivosti, kar jim bo omogočilo, da se vrnejo k poslu izdelave odlične programske opreme.