Indhold
- Open Source overalt
- Sårbarheder med open source: Resultater er i
- Hvad er det mest sårbare af dem alle?
- Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
- Det vilde vest for open source sårbarheder
- Open Source-samfundet er på toppen af sikkerhed - nu skal brugere indhente dem
- Sådan kommer du i Open Source Security
Tag væk:
Open source-komponenter er en fantastisk måde at opbygge software på, men sårbarheder inden for dem kan bringe hele organisationen i fare. Kend risikoen, og hold dig ajour om open source-sikkerhedsløsninger for at beskytte dig selv og din virksomhed.
Når udviklingshold kæmper for at holde trit med det konkurrencedygtige tempo i softwareproduktion, er open source-komponenter blevet en integreret del af enhver udviklers værktøjskasse, hvilket hjælper dem med at oprette og sende innovative produkter med DevOps-hastigheden.
Den konstante stigning i open source-brug sammen med overskridende dataovertrædelser som Equifax-bruddet, der udnyttede sårbarheder i open source-komponenter, kan endelig have organisationer, der er klar til at administrere open source-sikkerhed og adressere Wild West af open source-sårbarheder. Spørgsmålet er dog, om de ved, hvor de skal starte. (Se Kvalitativ kontra kvantitativ: for at lære mere: Tid til ændring, hvordan vi vurderer sværhedsgraden af tredjepart sårbarheder?)
Open Source overalt
WhiteSource offentliggjorde for nylig State of Open Source Vulnerability Management Report for at give indsigt til at hjælpe organisationer med bedre at forstå, hvordan man nærmer sig open source-sikkerhed. I henhold til rapporten, som inkluderede resultaterne af en undersøgelse af open source-brug, der blev foretaget blandt 650 udviklere fra USA og Vesteuropa, stoler hele 87,4 procent af udviklerne på open source-komponenter "meget ofte" eller "hele tiden. ”Yderligere 9,4 procent svarede, at de“ undertiden ”bruger open source-komponenter. Det, der stod ud, var, at kun 3,2 procent af deltagerne svarede, at de aldrig bruger open source, hvilket antages at være et resultat af virksomhedens politik.
Disse numre viser klart over enhver tvivl, at en udvikler, der arbejder på et softwareprojekt sandsynligvis udnytter open source-komponenter.
Sårbarheder med open source: Resultater er i
Rapporten gravede også dybt ned i WhiteSource open source-databasen, som er samlet fra National Vulnerability Database (NVD), sikkerhedsrådgivere, peer-reviewede sårbarhedsdatabaser og populære open source-problemsporere for at lære om open source-sårbarheder, som udviklingshold har brug for at håndtere.
Resultaterne viste, at antallet af kendte open source-sårbarheder ramte et højdepunkt på alle tidspunkter i 2017 med næsten 3.500 sårbarheder. Det er en stigning på over 60 procent i antallet af offentliggjorte open source-sårbarheder sammenlignet med 2016, og tendensen viser intet tegn på at bremse i 2018.
Hvad er det mest sårbare af dem alle?
Forskningen blev også undersøgt i databasen for at finde de mest sårbare open source-projekter og kom med overraskende resultater. Mens 7,5 procent af alle open source-projekter er sårbare, har 32 procent af de 100 mest populære open source-projekter mindst én sårbarhed.
Mens en sårbarhed er nok til at sætte flere biblioteker i fare, indeholder et sårbart open source-projekt i gennemsnit otte sårbarheder. Det betyder, at de mest populære open source-projekter ofte også er dem, der er meget sårbare.
Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.
Denne indsigt bliver endnu tydeligere, når vi ser på listen over top 10 open source-projekter med det højeste antal open source sårbarheder. Top 10-listen inkluderer ekstremt populære open source-projekter, som mange af os bruger.
Disse projekter har mere end én ting til fælles: De fleste af dem er internetvendte, frontend-komponenter med brede angreboverflader, der er meget udsatte, hvilket gør dem relativt nemme at udnytte. Derfor tiltrækker de meget af open source-sikkerhedsforskningens opmærksomhed.
Et andet aspekt, som mange af disse projekter deler, er, at de fleste støttes af kommercielle virksomheder. I betragtning af indsatsen og ressourcerne bag dem kan man spørge: Hvordan kunne projekter, der støttes af så store spillere, være så sårbare?
Det vilde vest for open source sårbarheder
Tidligere ville opdagelsen af open source sårbarheder vække en livlig debat om, hvorvidt open source-komponenter opretholdes godt nok til at være sikre til brug. Heldigvis er disse dage forbi, og i dag ved vi, at stigningen i rapporterede open source-sårbarheder viser, hvor hurtigt open source-samfundet og sikkerhedsfællesskabet reagerer for at følge med trussellandskabet.
Den eksponentielle vækst i open source-samfundet sammen med den sene opdagelse af berygtede open source-sårbarheder i vildt populære komponenter, som dem, der gjorde det muligt for Heartbleed at trives, har medført en øget opmærksomhed om open source-sikkerhed og en hær af forskere, der analyserer open source projekter til sårbarheder samt en hurtig vending af rettelser.
Faktisk fandt WhiteSource-rapporten, at 97 procent af alle rapporterede sårbarheder har mindst en foreslået løsning i open source-samfundet, hvor sikkerhedsopdateringer normalt offentliggøres inden for dage efter offentliggørelsen af en sårbarhed. (For mere om open source, se Open Source: Er det for godt at være sand?)
Open Source-samfundet er på toppen af sikkerhed - nu skal brugere indhente dem
Mens open source-samfundets samarbejde og bestræbelser på at forbedre open source-sikkerhed helt sikkert viser resultater med hensyn til opdagelse af sårbarhed, afsløring og hurtige rettelser, er det svært for brugerne at holde trit på grund af open source-communityets decentrale karakter.
Når udviklere bruger kommercielle softwarekomponenter, er versionopdateringer en del af den service, de betaler for, og leverandørerne kan være meget presserende med at sikre sig, at du ser den.
Sådan fungerer open source ikke. WhiteSource-data, der viste, at kun 86 procent af de rapporterede open source-sårbarheder vises i CVE-databasen. Dette skyldes, at open source-fællesskabets samarbejde og decentralitet betyder, at informationen og opdateringerne om open source-sårbarheder offentliggøres på tværs af hundreder af ressourcer. Den slags information er umulig at spore manuelt, især når vi overvejer mængden af open source-brug.
Sådan kommer du i Open Source Security
Den konstante stigning i sårbarheder med open source er en udfordring, som organisationer skal tackle head-on, i betragtning af hvor almindelig open source-brug er blevet. Mens det høje antal open source-sårbarheder, inklusive de mest populære projekter, kan virke overvældende, er det et skridt i den rigtige retning at lære den måde, hvorpå samfundet administrerer open source-sikkerhed.
Det næste trin er at acceptere, at open source-sikkerhedsstyring kommer med et andet sæt regler, værktøjer og praksis end at sikre kommercielle eller proprietære komponenter. At holde sig med de samme sårbarhedsstyringsprogrammer og værktøjer hjælper ikke med open source-sikkerhedsstyring.
Vedtagelse af en open source-sikkerhedspolitik, der løser disse forskelle og inkorporerer de rigtige teknologier til at automatisere deres styring, hjælper sikkerheds- og udviklingshold med de unikke udfordringer, som open source-sårbarheder er head-on, så de kan komme tilbage til virksomheden med at opbygge fantastisk software.