Content
- Font oberta a tot arreu
- Vulnerabilitats de codi obert: Hi ha resultats
- Quins són els més vulnerables?
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- El Wild West de les vulnerabilitats de codi obert
- La comunitat d'Open Source està al capdamunt de la seguretat. Ara els usuaris han de posar-se al dia
- Com es pot avançar en la seguretat de codi obert
Emportar:
Els components de codi obert són una bona manera de crear programari, però les vulnerabilitats poden posar en perill tota la vostra organització. Coneix els riscos i estigui al dia en solucions de seguretat de codi obert per protegir-te a tu mateix i al teu negoci.
A mesura que els equips de desenvolupament s’avancen per mantenir el ritme competitiu de la producció de programari, els components de codi obert s’han convertit en una part integral de la caixa d’eines de tots els desenvolupadors, ajudant-los a crear i enviar productes innovadors a la velocitat de DevOps.
L’augment constant de l’ús de codi obert, juntament amb incompliments de dades de captació de títols com la bretxa Equifax que explotava vulnerabilitats en components de codi obert, pot tenir finalment organitzacions preparades per gestionar la seguretat de codi obert i abordar el Wild West de vulnerabilitats de codi obert. La pregunta és, però, si saben per on començar. (Per obtenir més informació, vegeu Qualitatiu i Quantitatiu: Temps per canviar com avaluem la gravetat de vulnerabilitats de tercers?)
Font oberta a tot arreu
WhiteSource ha publicat recentment l’Informe de Gestió de la Vulnerabilitat de Fonts Obertes per proporcionar informació sobre les organitzacions per comprendre millor com abordar la seguretat de codi obert. Segons l'informe, que inclou els resultats d'una enquesta sobre l'ús de codi obert realitzada entre 650 desenvolupadors dels Estats Units i Europa occidental, el 87,4 per cent dels desenvolupadors es basen en components de codi obert "molt sovint" o "tot el temps. Un altre 9,4 per cent va respondre que "de vegades" utilitzen components de codi obert. El que va destacar va ser que només el 3,2 per cent dels participants van respondre que mai no utilitzaven codi obert, cosa que es va considerar que podria ser conseqüència de la política de l'empresa.
Aquests números demostren clarament fora de dubte que un desenvolupador que treballa en un projecte de programari probablement està aprofitant components de codi obert.
Vulnerabilitats de codi obert: Hi ha resultats
L’informe també va aprofundir a la base de dades de codi obert de WhiteSource, que s’agrega a la base de dades de vulnerabilitat nacional (NVD), assessoraments de seguretat, bases de dades de vulnerabilitat revisades per iguals i populars seguidors d’emissions de codi obert, per obtenir informació sobre les vulnerabilitats de codi obert que necessiten els equips de desenvolupament. per fer front a.
Els resultats van mostrar que el nombre de vulnerabilitats de codi obert conegudes va assolir un màxim històric el 2017 amb prop de 3.500 vulnerabilitats. Es tracta d'un augment de més del 60 per cent del nombre de vulnerabilitats de codi obert divulgades en relació amb el 2016, i la tendència no mostra cap tipus de desacceleració el 2018.
Quins són els més vulnerables?
La investigació també va aprofundir en la base de dades per trobar els projectes de codi obert més vulnerables i va obtenir resultats sorprenents. Mentre que el 7,5 per cent de tots els projectes de codi obert són vulnerables, el 32 per cent dels 100 primers projectes de codi obert més populars tenen almenys una vulnerabilitat.
Si bé una vulnerabilitat és suficient per posar en risc diverses biblioteques, un projecte de codi obert vulnerable conté una mitjana de vuit vulnerabilitats. Això significa que els projectes de codi obert més populars solen ser també els que presenten una vulnerabilitat més elevada.
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
Aquesta visió es fa encara més clara quan ens fixem en la llista dels deu primers projectes de codi obert amb un major nombre de vulnerabilitats de codi obert. La llista dels primers 10 inclou projectes de codi obert extremadament populars que molts de nosaltres estem utilitzant.
Aquests projectes tenen més d'una cosa en comú: la majoria són components de front, amb grans superfícies d'atac molt exposades, cosa que els fa relativament fàcils d'explotar. És per això que atreuen molt l’atenció de la comunitat de recerca en seguretat de codi obert.
Un altre aspecte que comparteixen molts d’aquests projectes és que la majoria tenen el suport d’empreses comercials. Tenint en compte les apostes i els recursos que hi ha al darrere, es pot preguntar: Com podrien ser tan vulnerables els projectes recolzats per actors tan importants?
El Wild West de les vulnerabilitats de codi obert
En el passat, el descobriment de vulnerabilitats de codi obert despertaria un animat debat sobre si els components de codi obert es mantenen prou bé com per ser segurs per al seu ús. Feliçment, aquests dies s’han acabat, i avui sabem que l’augment de les vulnerabilitats de codi obert que es va informar demostra la rapidesa que la comunitat de codi obert i la comunitat de seguretat responen per estar al dia del paisatge amenaçador.
El creixement exponencial de la comunitat de codi obert juntament amb el descobriment tardà de notòries vulnerabilitats de codi obert en components poc populars, com les que van permetre a Heartbleed prosperar, han provocat un major coneixement de la seguretat de codi obert i un exèrcit d’investigadors que analitzen el codi obert. projectes per a vulnerabilitats, així com una ràpida solució per a solucions.
De fet, l’informe de WhiteSource va trobar que el 97 per cent de totes les vulnerabilitats reportades tenen almenys una correcció suggerida a la comunitat de codi obert, amb les actualitzacions de seguretat publicades normalment als dies posteriors a la publicació d’una vulnerabilitat. (Per obtenir més informació sobre el codi obert, consulteu el codi obert: És massa bo ser cert?)
La comunitat d'Open Source està al capdamunt de la seguretat. Ara els usuaris han de posar-se al dia
Si bé la col·laboració i els esforços de la comunitat de codi obert per millorar la seguretat de codi obert mostren resultats definitivament en termes de descoberta de vulnerabilitat, divulgació i solucions ràpides, és difícil per als usuaris mantenir-se, a causa de la naturalesa descentralitzada de la comunitat de codi obert.
Quan els desenvolupadors utilitzen components de programari comercial, les actualitzacions de la versió són una part del servei que paguen i els venedors poden tenir una gran importància per assegurar-se que el veuen.
No és com funciona el codi obert. Dades de WhiteSource que demostren que només el 86 per cent de les vulnerabilitats de codi obert que es van informar apareixen a la base de dades del CVE. Això es deu al fet que el caràcter col·laboratiu i descentralitzat de la comunitat de codi obert significa que la informació i les actualitzacions sobre vulnerabilitats de codi obert es publiquen en centenars de recursos. Aquest tipus d'informació és impossible de fer un seguiment manual, sobretot si tenim en compte el volum d'ús del codi obert.
Com es pot avançar en la seguretat de codi obert
L’augment constant de les vulnerabilitats de codi obert és un repte que les organitzacions han d’afrontar frontalment, tenint en compte com s’ha convertit en l’ús comú de codi obert. Si bé l’elevat nombre de vulnerabilitats de codi obert, inclosos els projectes més populars, pot semblar aclaparador, aprendre la manera com la comunitat gestiona la seguretat de codi obert és un pas en la direcció correcta.
El següent pas és acceptar que la gestió de seguretat de codi obert ve amb un conjunt diferent de regles, eines i pràctiques que la de protegir components comercials o propietaris. L'enganxi amb els mateixos programes i eines de gestió de vulnerabilitat no ajudarà a la gestió de seguretat de codi obert.
L’adopció d’una política de seguretat de codi obert que solucioni aquestes diferències i incorporar les tecnologies adequades per automatitzar la seva gestió ajudarà els equips de seguretat i desenvolupament a afrontar els reptes únics de les vulnerabilitats de codi obert, permetent-los tornar als negocis de la creació de grans programes.