Sisältö
- Open Source kaikkialla
- Avoimen lähdekoodin haavoittuvuudet: Tulokset ovat
- Mikä on heikoin heistä kaikista?
- Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
- Avoimen lähdekoodin haavoittuvuuksien villi länsi
- Avoimen lähdekoodin yhteisö on turvallisuuden kärjessä - nyt käyttäjien on saatava kiinni
- Kuinka päästä eteenpäin avoimen lähdekoodin tietoturvassa
Ottaa mukaan:
Avoimen lähdekoodin komponentit ovat loistava tapa rakentaa ohjelmistoja, mutta niiden heikkoudet voivat vaarantaa koko organisaation. Tutustu riskeihin ja ole ajan tasalla avoimen lähdekoodin tietoturvaratkaisuista suojataksesi itseäsi ja yritystäsi.
Kun kehitysryhmät kilpailevat pysyäkseen kilpailukykyisen ohjelmistotuotannon vauhdissa, avoimen lähdekoodin komponenteista on tullut olennainen osa jokaisen kehittäjän työkalupakkia, auttaen heitä luomaan ja lähettämään innovatiivisia tuotteita DevOpsin nopeudella.
Avoimen lähdekoodin käytön jatkuva nousu sekä otsikoihin tarttuvat tietorikkomukset, kuten Equifax-rikkomus, joka hyödynsi avoimen lähdekoodin komponenttien haavoittuvuuksia, saattavat vihdoin olla organisaatioita, jotka ovat valmiita hallitsemaan avoimen lähdekoodin tietoturvaa ja puuttumaan avoimen lähdekoodin haavoittuvuuksien villiin länsiin. Kysymys on kuitenkin siitä, tietävätkö he aloittavansa. (Jos haluat lisätietoja, katso Laadukas vs. kvantitatiivinen: Aika muuttaa miten kolmansien osapuolien haavoittuvuuksien vakavuus arvioidaan?)
Open Source kaikkialla
WhiteSource julkaisi äskettäin avoimen lähdekoodin haavoittuvuuden hallintaraportin tarjotakseen oivalluksia, joiden avulla organisaatiot ymmärtävät paremmin, miten lähestyä avoimen lähdekoodin tietoturvaa. Raportin mukaan, joka sisälsi 650 Yhdysvaltain ja Länsi-Euroopan kehittäjän suorittaman avoimen lähdekoodin käyttöä koskevan tutkimuksen tulokset, huikeat 87,4 prosenttia kehittäjistä luottaa avoimen lähdekoodin komponentteihin “hyvin usein” tai “koko ajan”. Toinen 9,4 prosenttia vastasi käyttävänsä "joskus" avoimen lähdekoodin komponentteja. Erottui kuitenkin se, että vain 3,2 prosenttia osallistujista vastasi, etteivätkö he koskaan käytä avointa lähdekoodia, jonka oletetaan todennäköisesti johtuvan yrityksen politiikasta.
Nämä numerot todistavat selvästi epäilemättä, että ohjelmistoprojektissa työskentelevä kehittäjä hyödyntää todennäköisesti avoimen lähdekoodin komponentteja.
Avoimen lähdekoodin haavoittuvuudet: Tulokset ovat
Raportti myös kaivoi syvälle WhiteSource-avoimen lähdekoodin tietokantaa, joka on koottu kansallisesta haavoittuvuustietokannasta (NVD), tietoturvaohjeista, vertaisarvioiduista haavoittuvuustietokannoista ja suosituista avoimen lähdekoodin seurannoista oppiaksesi kehitysryhmien tarvitsemista avoimen lähdekoodin haavoittuvuuksista. käsitellä.
Tulokset osoittivat, että tunnettujen avoimen lähdekoodin haavoittuvuuksien lukumäärä saavutti kaikkien aikojen korkeimman tason vuonna 2017 ja lähes 3500 haavoittuvuutta. Se on avoimen lähdekoodin julkistettujen haavoittuvuuksien lukumäärän nousu yli 60 prosenttia vuoteen 2016 verrattuna. Suuntaus ei osoita hidastuneen vuonna 2018.
Mikä on heikoin heistä kaikista?
Tutkimus löydettiin myös tietokantaan löytääkseen haavoittuvimmat avoimen lähdekoodin projektit ja tuotti yllättäviä tuloksia. Vaikka 7,5 prosentilla avoimen lähdekoodin projekteista on haavoittuvuus, 32 prosentilla suosituimmista avoimen lähdekoodin hankkeista on ainakin yksi haavoittuvuus.
Yksi haavoittuvuus riittää useiden kirjastojen vaarantamiseen, haavoittuva avoimen lähdekoodin projekti sisältää keskimäärin kahdeksan haavoittuvuutta. Tämä tarkoittaa, että suosituimmat avoimen lähdekoodin projektit ovat usein myös niitä, joissa on paljon haavoittuvuuksia.
Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.
Tämä käsitys tulee entistä selvemmäksi, kun tarkastelemme kymmenen parhaan avoimen lähdekoodin projektin luetteloa, joissa on eniten avoimen lähdekoodin haavoittuvuuksia. Kymmenen parhaan listan joukossa on erittäin suosittuja avoimen lähdekoodin projekteja, joita monet meistä käyttävät.
Näillä hankkeilla on enemmän kuin yksi yhteinen asia: Suurin osa niistä on internetin edessä olevia etuosakomponentteja, joilla on laajat hyökkäyspinnat ja jotka ovat erittäin paljaat, mikä tekee niistä suhteellisen helpon käyttää. Siksi he houkuttelevat paljon avoimen lähdekoodin tietoturvayhteisön huomion.
Toinen näkökohta, joka monilla näistä hankkeista on yhteistä, on se, että suurin osa niistä on kaupallisten yritysten tuki. Panosten ja niiden takana olevien resurssien vuoksi voidaan kysyä: Kuinka niin suurten toimijoiden tukemat projektit voivat olla niin haavoittuvia?
Avoimen lähdekoodin haavoittuvuuksien villi länsi
Aikaisemmin avoimen lähdekoodin haavoittuvuuksien löytäminen herätti vilkasta keskustelua siitä, ylläpidetäänkö avoimen lähdekoodin komponentteja riittävän hyvin turvallisiksi käytettäväksi. Onneksi noita päiviä on ohi, ja tänään tiedämme, että ilmoitettujen avoimen lähdekoodin haavoittuvuuksien lisääntyminen osoittaa, kuinka nopeasti avoimen lähdekoodin yhteisö ja turvallisuusyhteisö reagoivat pysyäkseen uhanalaisessa maastossa.
Avoimen lähdekoodin yhteisön eksponentiaalinen kasvu ja villin suosittujen komponenttien pahamaineisten avoimen lähdekoodin haavoittuvuuksien myöhäinen löytäminen, kuten niiden, jotka antoivat Heartbleedille menestyä, ovat tuoneet lisääntyneen tietoisuuden avoimen lähdekoodin turvallisuudesta ja avoimen lähdekoodin analysoivien tutkijoiden armeija projektit haavoittuvuuksien varalta sekä nopea käännös korjauksille.
Itse asiassa WhiteSource-raportti totesi, että 97 prosentilla kaikista ilmoitetuista haavoittuvuuksista on ainakin yksi ehdotettu korjaus avoimen lähdekoodin yhteisössä, ja tietoturvapäivitykset julkaistaan yleensä muutaman päivän kuluessa haavoittuvuuden julkaisemisesta. (Lisätietoja avoimesta lähteestä, tutustu avoimeen lähdekoodiin: Onko liian hyvä olla totta?)
Avoimen lähdekoodin yhteisö on turvallisuuden kärjessä - nyt käyttäjien on saatava kiinni
Vaikka avoimen lähdekoodin yhteisön yhteistyö ja pyrkimykset avoimen lähdekoodin tietoturvan parantamiseksi ovat varmasti tuloksia haavoittuvuuden havaitsemisesta, paljastamisesta ja pikakorjauksista, käyttäjien on vaikea pysyä ajan tasalla avoimen lähdekoodin yhteisön hajautetun luonteen vuoksi.
Kun kehittäjät käyttävät kaupallisia ohjelmistokomponentteja, versiopäivitykset ovat osa palvelua, josta he maksavat, ja myyjät voivat olla varovaisia varmistamaan, että näet sen.
Näin avoin lähdekoodi ei toimi. WhiteSource-tiedot osoittivat, että vain 86 prosenttia ilmoitetuista avoimen lähdekoodin haavoittuvuuksista esiintyy CVE-tietokannassa. Tämä johtuu siitä, että avoimen lähdekoodin yhteisön yhteistyöhaja ja hajautettu luonne tarkoittaa, että avoimen lähdekoodin haavoittuvuuksia koskevat tiedot ja päivitykset julkaistaan sadoilla resursseilla. Tällaista tietoa on mahdotonta seurata manuaalisesti, varsinkin kun tarkastellaan avoimen lähdekoodin käytön määrää.
Kuinka päästä eteenpäin avoimen lähdekoodin tietoturvassa
Avoimen lähdekoodin haavoittuvuuksien jatkuva lisääntyminen on haaste, johon organisaatioiden on vastattava heti ottaen huomioon, kuinka yleiseksi avoimen lähdekoodin käytöstä on tullut. Vaikka avoimen lähdekoodin haavoittuvuuksien, kuten suosituimpien projektien, suuri määrä saattaa tuntua ylivoimaiselta, tapa, jolla yhteisö hallitsee avoimen lähdekoodin tietoturvaa, on askel oikeaan suuntaan.
Seuraava askel on hyväksyä, että avoimen lähdekoodin tietoturvan hallinta sisältää erilaiset säännöt, työkalut ja käytännöt kuin kaupallisten tai omistamien komponenttien turvaaminen. Pysyminen samoilla heikkouksien hallintaohjelmilla ja työkaluilla ei auta avoimen lähdekoodin tietoturvan hallintaa.
Näitä eroja käsittelevän avoimen lähdekoodin tietoturvapolitiikan käyttöönotto ja oikeiden tekniikoiden sisällyttäminen niiden hallinnan automatisointiin auttaa turvallisuus- ja kehitysryhmiä kohtaamaan avoimen lähdekoodin haavoittuvuuksien ainutlaatuiset haasteet heti, jolloin ne voivat palata upeaan ohjelmistoon.