Innehåll
- Öppen källa överallt
- Sårbarheter med öppen källkod: resultaten är i
- Vad är det mest sårbara av dem alla?
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- Vilda västern av open source sårbarheter
- Open Source-gemenskapen är överst på säkerheten - nu måste användare komma ikapp
- Hur man kommer framåt i Open Source Security
Hämtmat:
Open source-komponenter är ett utmärkt sätt att bygga programvara, men sårbarheter inom dem kan äventyra hela din organisation. Känner till riskerna och håll dig uppdaterad om säkerhetslösningar med öppen källkod för att skydda dig själv och ditt företag.
När utvecklingsgrupper tävlar om att hålla jämna steg med konkurrenskraften i mjukvaruproduktionen har open source-komponenter blivit en integrerad del av varje utvecklare verktygslåda, vilket hjälper dem att skapa och skicka innovativa produkter med hastigheten på DevOps.
Den konsekventa ökningen av öppen källkonsumtion, tillsammans med rubrikupptagande dataöverträdelser som Equifax-överträdelsen som utnyttjade sårbarheter i öppen källkodskomponenter, kan äntligen ha organisationer som är redo att hantera öppen källkodssäkerhet och adressera Vilda västern av open source-sårbarheter. Frågan är dock om de vet var de ska börja. (För mer information, se Kvalitativt mot kvantitativt: Tid att ändra hur vi bedömer svårigheterna av tredje part?)
Öppen källa överallt
WhiteSource publicerade nyligen State of Open Source Vulnerability Management Report för att ge insikter som hjälper organisationer att bättre förstå hur man kan närma sig säkerhet i öppen källkod. Enligt rapporten, som inkluderade resultaten från en undersökning om öppen källkodsanvändning som genomförts bland 650 utvecklare från USA och Västeuropa, litar 87,4 procent av utvecklarna på öppen källkodskomponenter "mycket ofta" eller "hela tiden. ”Ytterligare 9,4 procent svarade att de” ibland ”använder open source-komponenter. Det som stod ut var att endast 3,2 procent av deltagarna svarade att de aldrig använder open source, vilket troligtvis berodde på företagets policy.
Dessa siffror visar tydligt utan tvekan att en utvecklare som arbetar med ett mjukvaruprojekt troligen utnyttjar open source-komponenter.
Sårbarheter med öppen källkod: resultaten är i
Rapporten grävde också djupt in i WhiteSource-open source-databasen, som är samlad från National Vulnerability Database (NVD), säkerhetsrådgivningar, peer-granskade sårbarhetsdatabaser och populära trackers för open source-problem, för att lära sig om open source-sårbarheter som utvecklingsgrupper behöver att hantera.
Resultaten visade att antalet kända open source-sårbarheter träffade en högsta nivå under 2017 med nästan 3 500 sårbarheter. Det är en ökning med över 60 procent i antalet avslöjade open source-sårbarheter jämfört med 2016, och trenden visar inga tecken på att avta under 2018.
Vad är det mest sårbara av dem alla?
Forskningen delade också in i databasen för att hitta de mest sårbara open source-projekten och kom med förvånande resultat. Medan 7,5 procent av alla open source-projekt är sårbara, har 32 procent av de 100 mest populära open source-projekten minst en sårbarhet.
Medan en sårbarhet räcker för att riskera flera bibliotek, innehåller ett sårbart open source-projekt i genomsnitt åtta sårbarheter. Det betyder att de mest populära open source-projekten ofta också är de som har mycket sårbarheter.
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
Denna insikt blir ännu tydligare när vi tittar på listan över de 10 bästa open source-projekten med det högsta antalet open source-sårbarheter. Topp 10-listan innehåller extremt populära open source-projekt som många av oss använder.
Dessa projekt har mer än en sak gemensamt: De flesta av dem är internetvända, front-komponenter med breda attackytor som är mycket utsatta, vilket gör dem relativt enkla att utnyttja. Det är därför de lockar mycket av öppen källkod för säkerhetsforskningssamhället.
En annan aspekt som många av dessa projekt delar är att de flesta stöds av kommersiella företag. Med tanke på insatserna och resurserna bakom dem kan man fråga: Hur kan projekt som stöds av så stora aktörer vara så sårbara?
Vilda västern av open source sårbarheter
Tidigare skulle upptäckten av open source-sårbarheter väcka en livlig debatt om hur öppen källkodskomponenter upprätthålls tillräckligt för att vara säkra för användning. Lyckligtvis är dessa dagar över, och idag vet vi att ökningen av rapporterade open source-sårbarheter visar hur snabbt öppen källkodssamhället och säkerhetsgemenskapen svarar för att hålla jämna steg med hotlandskapet.
Den exponentiella tillväxten av öppen källkodssamhället tillsammans med den sena upptäckten av ökända öppen källkodssårbarheter i ganska populära komponenter, som de som gjorde det möjligt för Heartbleed att frodas, har lett till en ökad medvetenhet om öppen källkodssäkerhet och en armé av forskare som analyserar öppen källkod projekt för sårbarheter, samt en snabb vändning för korrigeringar.
WhiteSource-rapporten fann faktiskt att 97 procent av alla rapporterade sårbarheter har åtminstone en föreslagen korrigering i öppen källkod, med säkerhetsuppdateringar som vanligtvis publiceras inom några dagar efter publiceringen av en sårbarhet. (För mer information om öppen källkod, kolla in Open Source: Är det för bra att vara sant?)
Open Source-gemenskapen är överst på säkerheten - nu måste användare komma ikapp
Medan öppen källkodssamarbete och ansträngningar för att förbättra öppen källkodssäkerhet definitivt visar resultat när det gäller upptäckt av sårbarhet, avslöjande och snabbkorrigeringar, är det svårt för användare att hålla koll på grund av den decentraliserade naturen hos öppen källkod.
När utvecklare använder kommersiella programvarukomponenter är versionuppdateringar en del av tjänsten som de betalar för och leverantörerna kan vara mycket påträngande om att se till att du ser den.
Det är inte så öppen källkod fungerar. WhiteSource-data som visade att endast 86 procent av de rapporterade open source-sårbarheterna visas i CVE-databasen. Detta beror på att den samarbetsvilliga och decentraliserade naturen hos öppen källkodssamhället innebär att informationen och uppdateringarna om open source-sårbarheter publiceras över hundratals resurser. Den typen av information är omöjlig att spåra manuellt, särskilt när vi överväger volymen av öppen källkod.
Hur man kommer framåt i Open Source Security
Den konsekventa ökningen av sårbarheter med öppen källkod är en utmaning som organisationer måste ta itu med, med tanke på hur vanlig öppen källkod har blivit. Även om det stora antalet sårbarheter med öppen källkod, inklusive de mest populära projekten, kan verka överväldigande, är det ett steg i rätt riktning att lära sig hur samhället hanterar öppen källsäkerhet.
Nästa steg är att acceptera att säkerhetshantering med öppen källkod kommer med en annan uppsättning regler, verktyg och rutiner än att säkra kommersiella eller egenutvecklade komponenter. Att hålla fast vid samma sårbarhetshanteringsprogram och verktyg hjälper inte med säkerhetshantering med öppen källkod.
Att anta en öppen källkods säkerhetspolicy som hanterar dessa skillnader och inkorporera rätt teknik för att automatisera deras hantering kommer att hjälpa säkerhets- och utvecklingsgrupper att möta de unika utmaningarna med öppen källkodssårbarhet, så att de kan komma tillbaka till verksamheten med att bygga bra programvara.