Sisu
- Avatud lähtekoodiga kõikjal
- Avatud lähtekoodiga haavatavused: tulemused asuvad
- Mis on neist kõigist kõige haavatavam?
- Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
- Avatud lähtekoodiga haavatavuste metsik lääs
- Avatud lähtekoodiga kogukond on turvalisuse tipus - nüüd peavad kasutajad hakkama saama
- Kuidas avatud lähtekoodiga turvalisuses edasi liikuda
Ära võtma:
Avatud lähtekoodiga komponendid on suurepärane viis tarkvara loomiseks, kuid nende haavatavused võivad ohustada kogu teie organisatsiooni. Teadke oma ja oma ettevõtte kaitsmiseks avatud lähtekoodiga turvalahenduste riske ja olge kursis.
Kuna arendusmeeskonnad võistlevad tarkvaratootmise konkurentsitempoga sammu pidamise nimel, on avatud lähtekoodiga komponentidest saanud iga arendaja tööriistakasti lahutamatu osa, aidates neil luua ja edastada uuenduslikke tooteid DevOpsi kiirusel.
Avatud lähtekoodiga tarkvara kasutamise järjepidev kasv koos pealkirjade haaravate andmerikkumistega nagu Equifaxi rikkumine, mis kasutas ära avatud lähtekoodiga komponentide haavatavusi, võivad lõpuks olla organisatsioonid, kes on valmis haldama avatud lähtekoodiga turbe ja tegelema avatud lähtekoodiga turvaaukude loodusliku läänega. Küsimus on aga selles, kas nad teavad, kust alustada. (Lisateabe saamiseks vaadake teemat Kvalitatiivne vs kvantitatiivne: aeg muuta, kuidas me hindame kolmanda osapoole haavatavuse raskust?)
Avatud lähtekoodiga kõikjal
WhiteSource avaldas hiljuti avatud lähtekoodiga haavatavuse halduse aruande, et pakkuda teadmisi, mis aitavad organisatsioonidel paremini mõista, kuidas läheneda avatud lähtekoodiga turbele. Aruande kohaselt, mis sisaldas 650 USA-st ja Lääne-Euroopast pärit arendaja seas läbi viidud uuringut avatud lähtekoodiga toodete kasutamise kohta, usaldab ilmatu 87,4 protsenti arendajatest avatud lähtekoodiga komponente “väga sageli” või “kogu aeg”. Veel 9,4 protsenti vastas, et kasutavad mõnikord avatud lähtekoodiga komponente. Välja paistis see, et ainult 3,2 protsenti osalejatest vastas, et nad ei kasuta kunagi avatud lähtekoodiga tarkvara, mis arvatavasti oli ettevõtte poliitika tulemus.
Need arvud tõestavad kahtlemata selgelt, et tarkvaraprojekti kallal töötav arendaja võimendab tõenäoliselt avatud lähtekoodiga komponente.
Avatud lähtekoodiga haavatavused: tulemused asuvad
Aruanne kaevus sügavale ka WhiteSource'i avatud lähtekoodiga andmebaasi, mis on koondatud riiklikust haavatavuse andmebaasist (NVD), turvanõuannetest, eelretsenseeritavatest haavatavuse andmebaasidest ja populaarsetest avatud lähtekoodiga väljaannete jälgijatest, et õppida tundma avatud lähtekoodiga haavatavusi, mida arendusmeeskonnad vajavad hakkama saama.
Tulemused näitasid, et teadaolevate avatud lähtekoodiga turvaaukude arv jõudis 2017. aastal kõigi aegade rekorditeni - ligi 3500 haavatavust. See tähendab avaldatud avatud lähtekoodiga haavatavuste arvu suurenemist enam kui 60 protsenti võrreldes 2016. aastaga ja trend ei näita 2018. aasta aeglustumist.
Mis on neist kõigist kõige haavatavam?
Samuti viidi uuring andmebaasi, et leida kõige haavatavamad avatud lähtekoodiga projektid ja tulid üllatavate tulemustega. Kui 7,5 protsenti kõigist avatud lähtekoodiga projektidest on haavatavad, on 32 protsendil 100 populaarseimast avatud lähtekoodiga projektist vähemalt üks haavatavus.
Kui mitmest raamatukogust ohustamiseks piisab ühest haavatavusest, sisaldab haavatav avatud lähtekoodiga projekt keskmiselt kaheksa haavatavust. See tähendab, et kõige populaarsemad avatud lähtekoodiga projektid on sageli ka need, kus on palju haavatavusi.
Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.
See ülevaade saab veelgi selgemaks, kui vaatame kümne parima avatud lähtekoodiga projektide loetelu, kus on kõige rohkem avatud lähtekoodiga haavatavusi. Esikümnesse kuuluvad väga populaarsed avatud lähtekoodiga projektid, mida paljud meist kasutavad.
Nendel projektidel on rohkem kui üks ühine joon: enamik neist on Interneti-põhised, laiade rünnakupindadega esiosa komponendid, mis on väga paljastatud, muutes need suhteliselt hõlpsasti kasutatavaks. Sellepärast köidavad nad palju avatud lähtekoodiga turbeuuringute kogukonna tähelepanu.
Teine aspekt, mida paljud neist projektidest jagavad, on see, et enamikku toetavad kaubandusettevõtted. Arvestades nende taga seisvaid panuseid ja ressursse, võib küsida: kuidas võiksid selliste suurte osalejate toetatud projektid olla nii haavatavad?
Avatud lähtekoodiga haavatavuste metsik lääs
Minevikus ärataks avatud lähtekoodiga haavatavuste avastamine elavat arutelu selle üle, kas avatud lähtekoodiga komponente hoitakse kasutamisohutuse tagamiseks piisavalt hästi. Õnneks on need päevad möödas ja täna teame, et teatatud avatud lähtekoodiga haavatavuste suurenemine näitab, kui kiiresti reageerivad avatud lähtekoodiga kogukond ja julgeolekukogukond ohumaastikuga sammu pidamiseks.
Avatud lähtekoodiga kogukonna hüppeline kasv koos kurikuulsate avatud lähtekoodiga haavatavuste hilja avastamisega metsikult populaarsetes komponentides, nagu need, mis võimaldasid Heartbleedil õitseda, on põhjustanud kõrgendatud teadlikkuse avatud lähtekoodiga turvalisusest ja teadlaste armee, kes analüüsivad avatud lähtekoodiga haavatavuste projektid, samuti kiire parandus parandustele.
Tegelikult leidis WhiteSource'i aruanne, et 97 protsendil kõigist teatatud turvaaukudest on avatud lähtekoodiga kogukonnas vähemalt üks soovitatud parandus. Turvavärskendused avaldatakse tavaliselt mõne päeva jooksul pärast haavatavuse avaldamist. (Avatud lähtekoodiga seotud lisateavet leiate jaotisest Avatud lähtekoodiga: kas see on liiga hea, et olla tõsi?)
Avatud lähtekoodiga kogukond on turvalisuse tipus - nüüd peavad kasutajad hakkama saama
Ehkki avatud lähtekoodiga kogukonna koostöö ja jõupingutused avatud lähtekoodiga turvalisuse parandamisel näitavad kindlasti tulemusi haavatavuse avastamise, avalikustamise ja kiirete paranduste osas, on kasutajatel avatud lähtekoodiga kogukonna detsentraliseeritud olemuse tõttu keeruline sammu pidada.
Kui arendajad kasutavad kommertstarkvara komponente, on versioonivärskendused osa teenusest, mille eest nad maksavad. Müüjad võivad selle nähes veenduda.
Nii ei toimi avatud lähtekood. WhiteSource'i andmed näitasid, et ainult 86 protsenti teatatud avatud lähtekoodiga haavatavustest on CVE andmebaasis. Selle põhjuseks on asjaolu, et avatud lähtekoodiga kogukonna koostöö ja detsentraliseeritud olemus tähendab, et teave ja värskendused avatud lähtekoodiga haavatavuste kohta avaldatakse sadades ressurssides. Sellist teavet on võimatu käsitsi jälgida, eriti kui arvestada avatud lähtekoodiga rakenduste mahtu.
Kuidas avatud lähtekoodiga turvalisuses edasi liikuda
Avatud lähtekoodiga haavatavuste järjepidev tõus on väljakutse, millega organisatsioonid peavad tegelema, pidades silmas avatud lähtekoodide tavapärase kasutamise üldist kasutamist. Kuigi avatud lähtekoodiga turvaaukude, sealhulgas kõige populaarsemate projektide suur arv võib tunduda tohutu, on kogukond avatud lähtekoodiga turvalisuse haldamise õppimine samm õiges suunas.
Järgmine samm on aktsepteerimine, et avatud lähtekoodiga turbehaldus hõlmab teistsuguseid reegleid, tööriistu ja tavasid kui äriliste või omanduses olevate komponentide turvamine. Samade haavatavuse haldamise programmide ja tööriistadega kinni pidamine ei aita avatud lähtekoodiga turvahalduses.
Nendele erinevustele reageeriva avatud lähtekoodiga turbepoliitika vastuvõtmine ja nende juhtimise automatiseerimiseks õigete tehnoloogiate kaasamine aitab turva- ja arendusmeeskondadel silmitsi seista avatud lähtekoodiga turvaaukude ainulaadsete väljakutsetega, võimaldades neil naasta suure tarkvara loomise äriga.