Σε όλους τους κλάδους της βιομηχανίας, το λογισμικό ανοιχτού κώδικα εξακολουθεί να αποτελεί πρόκληση για την ασφάλεια του λογισμικού. Όλοι γνωρίζουμε ότι οι ευπάθειες σε λογισμικό, εφαρμογές και λειτουργικά συστήματα εμπορικού και ανοιχτού κώδικα μπορούν να οδηγήσουν σε παραβιάσεις της αλυσίδας εφοδιασμού λογισμικού, αλλά τώρα βλέπουμε εισβολείς που στοχεύουν εφαρμογές Ιστού, διακομιστές API, κινητές συσκευές και τα στοιχεία λογισμικού απαιτείται για την κατασκευή τους.

Μόλις κυκλοφόρησε η τελευταία έκδοση της ετήσιας μελέτης της Synopsys για την ασφάλεια ανοιχτού κώδικα. ο «Ασφάλεια ανοιχτού κώδικα και ανάλυση κινδύνου» (OSSRA) μελέτη από τη Synopsys εξετάζει τα ευρήματα περισσότερων από 1,700 εμπορικών ελέγχων βάσεων κωδικών.

Από τις 1,703 βάσεις κωδικών που έλεγξε η Synopsys το 2022, το 96% από αυτές περιείχαν ανοιχτό κώδικα. Αεροδιαστημική, Αεροπορία, Αυτοκίνητο, Μεταφορές και Επιμελητεία. EdTech; και το Internet of Things ήταν τρεις από τους 17 κλάδους της βιομηχανίας που περιλαμβάνονται στην έκθεση OSSRA του 2023 που είχαν ανοιχτό κώδικα στο 100% των ελεγμένων βάσεων κωδικών τους. Στους υπόλοιπους κλάδους, πάνω από το 92% των βάσεων κωδικών περιείχαν ανοιχτό κώδικα.

Τα τρωτά σημεία υψηλού κινδύνου παραμένουν στον κώδικα

Από το 2019, οι ευπάθειες υψηλού κινδύνου έχουν αυξηθεί κατά τουλάχιστον 42% και στις 17 επιχειρήσεις της OSSRA, με τις αυξήσεις να εκτινάσσονται στο +557% στους τομείς του λιανικού εμπορίου και του ηλεκτρονικού εμπορίου και στο +317% στον τομέα του υλικού υπολογιστών και των ημιαγωγών.

Μια πενταετής αναδρομική έκθεση, νέα για την έκθεση OSSRA φέτος, δίνει μια πιο ολοκληρωμένη εικόνα των τάσεων ανοιχτού κώδικα και ασφάλειας. Παρά τις παραλλαγές ανά κλάδο, το συνολικό περιεχόμενο ανοιχτού κώδικα των ελεγμένων βάσεων κωδικών αυξήθηκε παντού. Αρκετές βιομηχανίες παρουσίασαν επίσης ανησυχητικές αυξήσεις στον αριθμό των τρωτών σημείων που βρέθηκαν στις βάσεις κωδικών τους, υποδηλώνοντας μια ανησυχητική έλλειψη μετριασμού της ευπάθειας.

Ένας σημαντικός τομέας που εξακολουθεί να αποτελεί πρόκληση είναι η διαχείριση ενημερώσεων κώδικα. Από τις 1,703 βάσεις κωδικών που ελέγχθηκαν, το 89% περιείχε ανοιχτό κώδικα που ήταν ξεπερασμένο για περισσότερα από τέσσερα χρόνια (αύξηση 5% από την έκθεση του 2022). Και το 91% χρησιμοποίησε στοιχεία που δεν ήταν η πιο πρόσφατη διαθέσιμη έκδοση. Δηλαδή, μια ενημέρωση ή ενημέρωση κώδικα ήταν διαθέσιμη αλλά δεν εφαρμόστηκε. Μαζί με τη διαχείριση ενημερώσεων κώδικα, οι διενέξεις αδειών εξακολουθούν να δημιουργούν προβλήματα ασφάλειας. Φέτος, το 54% των ελεγμένων βάσεων κωδικών περιείχαν βάσεις κωδικών με διενέξεις αδειών, αύξηση 2% από πέρυσι.

Υπάρχουν βάσιμοι λόγοι για τη μη ενημέρωση του λογισμικού, αλλά ένα σημαντικό μέρος του ποσοστού του 91% πιθανότατα αποδίδεται στο ότι οι ομάδες ανάπτυξης δεν γνωρίζουν ότι είναι διαθέσιμη μια νεότερη έκδοση ενός στοιχείου ανοιχτού κώδικα. Εάν μια εταιρεία δεν διατηρεί ακριβές και τρέχον απόθεμα του ανοιχτού κώδικα που χρησιμοποιείται στον κώδικά της, ένα στοιχείο μπορεί να περάσει απαρατήρητο μέχρι να εκτεθεί σε εκμετάλλευση υψηλού κινδύνου.

Αυτό ακριβώς συνέβη με το Log4j και εξακολουθεί να είναι ένα ζήτημα περισσότερο από ένα χρόνο αργότερα. Παρά την προσοχή του κοινού που συγκέντρωσε και τα πολλά βήματα που μπορεί να κάνουν οι επιχειρήσεις για να επαληθεύσουν και να διορθώσουν την παρουσία του Log4j στη βάση κώδικα τους, παραμένει στο 5% όλων των βάσεων κωδικών και στο 11% των ελεγμένων βάσεων κώδικα Java.

Καθιερώστε βέλτιστες πρακτικές ανοιχτού κώδικα για την ασφάλεια

Η καθιέρωση βέλτιστων πρακτικών διακυβέρνησης λογισμικού μπορεί να σας βοηθήσει να ξεκινήσετε ένα πρόγραμμα διαχείρισης λογισμικού ανοιχτού κώδικα για την προστασία των πόρων και των δεδομένων σας από τρωτά σημεία μηδενικής ημέρας.

1. Καθορίστε την πολιτική σας.

Η οικοδόμηση μιας πολιτικής ανοιχτού κώδικα για τον οργανισμό σας ελαχιστοποιεί τους νομικούς, τεχνικούς και επιχειρηματικούς κινδύνους σας. Θέλετε να προσδιορίσετε τα βασικά ενδιαφερόμενα μέρη σας και, στη συνέχεια, να ορίσετε τους στόχους λογισμικού ανοιχτού κώδικα του οργανισμού σας, την υπάρχουσα χρήση και τη χρήση-στόχο. Η πολιτική θα πρέπει να καλύπτει ενημερωμένες εκδόσεις κώδικα και άδειες χρήσης, καθώς και τον εντοπισμό του ποιος θα είναι υπεύθυνος για τη διατήρησή τους.

2. Δημιουργήστε μια διαδικασία έγκρισης.

Καθιερώστε μια διαδικασία έγκρισης για να αξιολογήσετε εάν ένα πακέτο λογισμικού πληροί τις ανάγκες και τα πρότυπα ποιότητας του οργανισμού σας. Εξετάστε την ποιότητα του κώδικα, την υποστήριξη, την ωριμότητα του έργου, τη φήμη του συνεργάτη και τα πρότυπα ευπάθειας. Μια διαδικασία έγκρισης που λαμβάνει υπόψη αυτά τα κριτήρια θα εμποδίσει τις ομάδες να έχουν πολλές εκδόσεις του ίδιου πακέτου λογισμικού στον κώδικα του οργανισμού σας, ορισμένες από τις οποίες ενδέχεται να μην έχουν επιδιορθωθεί ή αναβαθμιστεί.

3. Έλεγχος για λογισμικό ανοιχτού κώδικα.

Οι έλεγχοι αποκαλύπτουν το λογισμικό ανοιχτού κώδικα και διασφαλίζουν τη συμμόρφωση με τους κανονισμούς της εταιρείας. Αυτό μπορεί να σας βοηθήσει να εντοπίσετε στοιχεία για συμμόρφωση με άδεια χρήσης ανοιχτού κώδικα και αποκάλυψη ευπάθειας. Θα πρέπει να εκτελείτε σαρώσεις ανοιχτού κώδικα καθ' όλη τη διάρκεια του κύκλου ζωής ανάπτυξης λογισμικού (SDLC), αλλά θα πρέπει να διασφαλίζετε ότι γίνεται μια τελική σάρωση κάθε φορά που μια εφαρμογή ενσωματώνεται σε μια υποψήφια έκδοση που χρησιμοποιεί λογισμικό ανοιχτού κώδικα, ειδικά εάν βασίζεστε σε στοιχεία από τρίτο κόμματα.

4. Κατασκευάστε ένα SBOM

Ο λογαριασμός υλικού λογισμικού (SBOM) είναι μια λίστα με όλα τα στοιχεία ανοιχτού κώδικα και τρίτων που υπάρχουν σε μια βάση κώδικα. Ένα SBOM παραθέτει επίσης τις άδειες χρήσης που διέπουν αυτά τα στοιχεία, τις εκδόσεις των στοιχείων που χρησιμοποιούνται στη βάση κώδικα και την κατάσταση ενημερωμένης έκδοσης κώδικα, γεγονός που επιτρέπει στις ομάδες ασφαλείας να εντοπίζουν γρήγορα τυχόν σχετικούς κινδύνους ασφάλειας ή άδειας χρήσης. Η αυτοματοποίηση αυτής της λειτουργίας εξαλείφει τα χειροκίνητα, ανακριβή αποθέματα ανοιχτού κώδικα.

Εφαρμόζοντας τις κατάλληλες πρακτικές ασφαλείας, μπορείτε να παραμείνετε στην κορυφή του κινδύνου ευπάθειας ανοιχτού κώδικα και να δημιουργήσετε ένα ισχυρό σύστημα για τη διαχείρισή του.

Σχετικά με το Συγγραφέας

Η Charlotte Freeman γράφει για την τεχνολογία και την ασφάλεια για πάνω από 20 χρόνια. Αυτή τη στιγμή είναι ανώτερη συγγραφέας ασφαλείας για την ομάδα Synopsys Software Integrity Group.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/open-source-vulnerabilities-still-pose-a-big-challenge-for-security-teams