Οι ανοιχτές πηγές ευπάθειας είναι σχετικά με την άνοδο: Εδώ είναι τι πρέπει να ξέρετε

Περιεχόμενο

• Open Source παντού
• Αδυναμίες ανοικτού κώδικα: Τα αποτελέσματα είναι σε
• Ποιο είναι το πιο ευάλωτο από αυτά;
• No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
• Η Άγρια Δύση των ανοιχτών ευάλωτων πηγών
• Η Κοινότητα ανοιχτού κώδικα βρίσκεται στην κορυφή της ασφάλειας - Τώρα οι χρήστες πρέπει να καλύψουν
• Πώς να φτάσετε μπροστά στην ασφάλεια ανοικτού κώδικα

Πάρε μακριά:

Τα συστατικά ανοιχτού κώδικα είναι ένας πολύ καλός τρόπος για να δημιουργήσετε λογισμικό, αλλά τα τρωτά σημεία τους θα μπορούσαν να θέσουν σε κίνδυνο ολόκληρο τον οργανισμό σας. Γνωρίστε τους κινδύνους και ενημερωθείτε για λύσεις ασφάλειας ανοικτού κώδικα για να προστατέψετε τον εαυτό σας και την επιχείρησή σας.

Καθώς οι ομάδες ανάπτυξης αγωνίζονται να συμβαδίσουν με τον ανταγωνιστικό ρυθμό της παραγωγής λογισμικού, τα συστατικά ανοιχτού κώδικα έχουν γίνει αναπόσπαστο κομμάτι της εργαλειοθήκης κάθε κατασκευαστή, βοηθώντας τους να δημιουργήσουν και να μεταφέρουν καινοτόμα προϊόντα με την ταχύτητα των DevOps.

Η συνεχής άνοδος της χρήσης ανοιχτού κώδικα, καθώς και οι παραβιάσεις δεδομένων που καταγράφουν την επικεφαλίδα, όπως η παραβίαση του Equifax που εκμεταλλεύεται τις ευπάθειες σε συστατικά ανοικτού κώδικα, μπορεί τελικά να έχουν οργανώσεις έτοιμες να διαχειριστούν την ασφάλεια ανοικτού κώδικα και να αντιμετωπίσουν την άγρια ​​δυτική αδυναμία ανοιχτών πηγών. Το ερώτημα όμως είναι αν γνωρίζουν από πού να ξεκινήσουν. (Για να μάθετε περισσότερα, ανατρέξτε στην ενότητα Ποιοτική vs. Ποσοτική: Ώρα να αλλάξουμε τον τρόπο με τον οποίο αξιολογούμε τη σοβαρότητα των τρωτότητας τρίτων;)

Open Source παντού

Η WhiteSource δημοσίευσε πρόσφατα την Έκθεση Διαχείρισης Αδυναμιών Ανοικτού Κώδικα για την παροχή πληροφοριών για να βοηθήσει τους οργανισμούς να κατανοήσουν καλύτερα τον τρόπο προσέγγισης της ασφάλειας ανοικτού κώδικα. Σύμφωνα με την έκθεση, η οποία περιελάμβανε τα αποτελέσματα μιας έρευνας σχετικά με τη χρήση ανοιχτού κώδικα, η οποία διεξήχθη μεταξύ 650 προγραμματιστών από τις ΗΠΑ και τη Δυτική Ευρώπη, το 87,4% των προγραμματιστών βασίζονται σε συστατικά ανοιχτού κώδικα "πολύ συχνά" ή "όλη την ώρα. "Ένα άλλο 9,4% απάντησε ότι" μερικές φορές "χρησιμοποιούν συστατικά ανοικτού κώδικα. Αυτό που διαφαίνεται ήταν ότι μόνο το 3,2% των συμμετεχόντων απάντησε ότι ποτέ δεν χρησιμοποιούν ανοικτή πηγή, η οποία θεωρήθηκε πιθανότατα ως συνέπεια της πολιτικής της εταιρείας.

Αυτοί οι αριθμοί αποδεικνύουν ξεκάθαρα ότι ένας προγραμματιστής που εργάζεται σε ένα πρόγραμμα λογισμικού πιθανότατα μοχλεύει εξαρτήματα ανοιχτής πηγής.

Αδυναμίες ανοικτού κώδικα: Τα αποτελέσματα είναι σε

Η έκθεση έσκαψε επίσης βαθιά στη βάση δεδομένων ανοιχτού κώδικα WhiteSource, η οποία συγκεντρώνεται από την Εθνική Βάση Δεδομένων Ευπάθειας (NVD), συμβουλές ασφάλειας, βάσεις δεδομένων ευπάθειας που έχουν αξιολογηθεί από τους ομότιμους και δημοφιλείς ιχνηλάτες θεμάτων ανοιχτού κώδικα, για να μάθουν για τις αδυναμίες open source που χρειάζονται οι αναπτυξιακές ομάδες για να αντιμετωπίσει.

Τα αποτελέσματα έδειξαν ότι ο αριθμός των γνωστών αδυναμιών ανοιχτού κώδικα έπληξε το 2017 με σχεδόν 3.500 τρωτά σημεία. Αυτή είναι μια αύξηση πάνω από 60 τοις εκατό στον αριθμό των αποκαλυπτόμενων τρωτών σημείων ανοικτού κώδικα σε σύγκριση με το 2016 και η τάση δεν δείχνει κανένα σημάδι επιβράδυνσης το 2018.

Ποιο είναι το πιο ευάλωτο από αυτά;

Η έρευνα έφερε επίσης τη βάση δεδομένων για να βρει τα πιο ευάλωτα έργα ανοιχτού κώδικα και κατέληξε σε εκπληκτικά αποτελέσματα. Ενώ το 7,5% όλων των έργων ανοιχτού κώδικα είναι ευάλωτα, το 32% των 100 πιο δημοφιλών έργων ανοιχτού κώδικα έχει τουλάχιστον ένα τρωτό σημείο.

Ενώ ένα θέμα ευπάθειας είναι αρκετό για να θέσει σε κίνδυνο πολλές βιβλιοθήκες, ένα ευάλωτο έργο ανοιχτού κώδικα περιέχει κατά μέσο όρο οκτώ τρωτά σημεία. Αυτό σημαίνει ότι τα δημοφιλέστερα έργα ανοιχτού κώδικα είναι συχνά και εκείνα που παρουσιάζουν υψηλά επίπεδα ευπάθειας.

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Αυτή η κατανόηση καθίσταται ακόμα πιο ξεκάθαρη όταν εξετάζουμε τη λίστα των κορυφαίων 10 έργων ανοιχτού κώδικα με τον μεγαλύτερο αριθμό αδυναμιών ανοιχτού κώδικα. Η πρώτη λίστα περιλαμβάνει εξαιρετικά δημοφιλή έργα ανοιχτού κώδικα που χρησιμοποιούν πολλοί από εμάς.

Αυτά τα έργα έχουν περισσότερα από ένα πράγματα από κοινού: τα περισσότερα από αυτά αντιμετωπίζουν το Διαδίκτυο, τα στοιχεία του μπροστινού τμήματος με μεγάλες επιθετικές επιφάνειες που είναι πολύ εκτεθειμένες, καθιστώντας τους σχετικά εύκολο να εκμεταλλευτούν. Αυτός είναι ο λόγος για τον οποίο προσελκύουν πολλά από την προσοχή της ερευνητικής κοινότητας ανοιχτής πηγής.

Μια άλλη πτυχή που πολλά από αυτά τα σχέδια μοιράζονται είναι ότι τα περισσότερα υποστηρίζονται από εμπορικές εταιρείες. Λαμβάνοντας υπόψη τα διακυβεύματα και τους πόρους πίσω από αυτά, μπορεί κανείς να ρωτήσει: Πώς θα μπορούσαν τα έργα που υποστηρίζονται από τέτοιους μεγάλους παίκτες να είναι τόσο ευάλωτα;

Η Άγρια Δύση των ανοιχτών ευάλωτων πηγών

Στο παρελθόν, η ανακάλυψη αδυναμιών ανοιχτού κώδικα θα ξυπνήσει μια ζωντανή συζήτηση σχετικά με το κατά πόσο τα ανοικτά στοιχεία πηγής διατηρούνται αρκετά καλά για να είναι ασφαλή για χρήση. Ευτυχώς, αυτές οι μέρες τελειώνουν και σήμερα γνωρίζουμε ότι η άνοδος των αναφερόμενων αδυναμιών ανοιχτής πηγής δείχνει πόσο γρήγορα η κοινότητα ανοιχτού κώδικα και η κοινότητα ασφάλειας ανταποκρίνονται για να συμβαδίσουν με το απειλητικό τοπίο.

Η εκθετική ανάπτυξη της κοινότητας ανοικτού πηγαίου κώδικα μαζί με την καθυστερημένη ανακάλυψη φημισμένων αδυναμιών ανοιχτού κώδικα σε άγρια ​​δημοφιλή στοιχεία, όπως αυτά που επέτρεψαν στην Heartbleed να ευδοκιμήσει, οδήγησαν σε αυξημένη συνειδητοποίηση της ασφάλειας ανοικτού κώδικα και σε μια ομάδα ερευνητών που αναλύουν ανοικτή πηγή τα έργα για ευπάθειες, καθώς και μια γρήγορη ανάκαμψη για διορθώσεις.

Στην πραγματικότητα, η έκθεση WhiteSource διαπίστωσε ότι το 97% όλων των αναφερθέντων τρωτών σημείων έχει τουλάχιστον μία προτεινόμενη λύση στην κοινότητα ανοιχτού κώδικα, ενώ οι ενημερώσεις ασφαλείας δημοσιεύονται συνήθως μέσα σε λίγες ημέρες από τη δημοσίευση μιας ευπάθειας. (Για περισσότερα σχετικά με την ανοιχτή πηγή, ελέγξτε το Open Source: Είναι πολύ καλό να είστε αλήθεια;)

Η Κοινότητα ανοιχτού κώδικα βρίσκεται στην κορυφή της ασφάλειας - Τώρα οι χρήστες πρέπει να καλύψουν

Ενώ η συνεργασία της κοινότητας ανοιχτού κώδικα και οι προσπάθειες για τη βελτίωση της ασφάλειας ανοικτού κώδικα δείχνουν σίγουρα αποτελέσματα όσον αφορά την ανακάλυψη ευπάθειας, τη γνωστοποίηση και τις γρήγορες διορθώσεις, είναι δύσκολο για τους χρήστες να συμβαδίζουν λόγω του αποκεντρωμένου χαρακτήρα της κοινότητας ανοιχτού κώδικα.

Όταν οι προγραμματιστές χρησιμοποιούν στοιχεία εμπορικού λογισμικού, οι ενημερώσεις έκδοσης αποτελούν μέρος της υπηρεσίας που πληρώνουν και οι πωλητές μπορούν να αισθάνονται αρκετά για να βεβαιωθούν ότι το βλέπετε.

Δεν λειτουργεί το open source. Δεδομένα της WhiteSource που έδειξαν ότι μόνο το 86% των αναφερόμενων ευπάθειας ανοιχτού κώδικα εμφανίζονται στη βάση δεδομένων CVE. Αυτό συμβαίνει επειδή ο συνεργατικός και αποκεντρωμένος χαρακτήρας της κοινότητας ανοιχτού κώδικα σημαίνει ότι οι πληροφορίες και οι ενημερώσεις σχετικά με τα τρωτά σημεία ανοικτού κώδικα δημοσιεύονται σε εκατοντάδες πόρους. Αυτού του είδους οι πληροφορίες είναι αδύνατον να εντοπιστούν με το χέρι, ειδικά όταν εξετάζουμε τον όγκο της χρήσης ανοιχτού κώδικα.

Πώς να φτάσετε μπροστά στην ασφάλεια ανοικτού κώδικα

Η συνεχής αύξηση των τρωτών σημείων ανοιχτού κώδικα αποτελεί μια πρόκληση την οποία πρέπει να αντιμετωπίσουν οι οργανισμοί επικεντρωμένοι, λαμβάνοντας υπόψη πόσο συχνή είναι η χρήση ανοιχτού κώδικα. Ενώ ο μεγάλος αριθμός αδυναμιών ανοιχτού κώδικα, συμπεριλαμβανομένων των πιο δημοφιλών έργων, μπορεί να φανεί συντριπτικό, η εκμάθηση του τρόπου με τον οποίο η κοινότητα διαχειρίζεται την ασφάλεια ανοικτού κώδικα αποτελεί ένα βήμα προς τη σωστή κατεύθυνση.

Το επόμενο βήμα είναι να αποδεχτεί ότι η διαχείριση ασφάλειας ανοικτού κώδικα συνοδεύεται από διαφορετικό σύνολο κανόνων, εργαλείων και πρακτικών από την εξασφάλιση εμπορικών ή ιδιόκτητων στοιχείων. Η προσκόλληση με τα ίδια προγράμματα και εργαλεία διαχείρισης ευπάθειας δεν θα βοηθήσει στη διαχείριση ασφάλειας ανοικτού κώδικα.

Η υιοθέτηση μιας πολιτικής ασφάλειας ανοικτού κώδικα που θα καλύπτει αυτές τις διαφορές και θα ενσωματώνει τις σωστές τεχνολογίες για την αυτοματοποίηση της διαχείρισης τους θα βοηθήσει τις ομάδες ασφάλειας και ανάπτυξης να αντιμετωπίσουν τις μοναδικές προκλήσεις των ανοιχτών τρωτών σημείων, επιτρέποντάς τους να επιστρέψουν στην επιχείρηση κατασκευής εξαιρετικού λογισμικού.