Kõigis tööstussektorites on avatud lähtekoodiga tarkvara tarkvara turvalisuse jaoks jätkuvalt väljakutseks. Oleme kõik teadlikud, et kommerts- ja avatud lähtekoodiga tarkvara, rakenduste ja operatsioonisüsteemide haavatavused võivad põhjustada tarkvara tarneahela rikkumisi, kuid nüüd näeme ründajaid, kes sihivad veebirakendusi, API-servereid, mobiilseadmeid ja tarkvarakomponente. nende ehitamiseks vajalik.
Äsja ilmus Synopsysi iga-aastase avatud lähtekoodiga turvalisuse uuringu viimane väljaanne. The "Avatud lähtekoodiga turbe- ja riskianalüüs" (OSSRA) Synopsysi uuringus vaadeldakse enam kui 1,700 kaubandusliku koodibaasi auditi tulemusi.
1,703 koodibaasist, mida Synopsys 2022. aastal auditeeris, sisaldas 96% neist avatud lähtekoodiga. Lennundus, lennundus, autotööstus, transport ja logistika; EdTech; ja asjade Internet olid kolm 17. aasta OSSRA aruandes sisalduvast 2023 tööstussektorist, mille auditeeritud koodibaasid olid avatud lähtekoodiga 100%. Ülejäänud vertikaalides sisaldas üle 92% koodibaasidest avatud lähtekoodiga.
Kõrge riskiga haavatavused püsivad koodis
Alates 2019. aastast on kõrge riskiga haavatavused kasvanud vähemalt 42% kõigis 17 OSSRA ettevõttes, hüppeliselt tõustes +557%ni jaemüügi- ja e-kaubanduse sektoris ning +317%ni arvutiriistvara ja pooljuhtide sektoris.
Viie aasta tagasivaade, mis on OSSRA aruandes tänavu uus, annab terviklikuma pildi avatud lähtekoodiga ja turbesuundadest. Hoolimata erinevustest tööstusharude lõikes, kasvas auditeeritud koodibaaside üldine avatud lähtekoodiga sisu üldiselt. Mitmed tööstusharud näitasid ka nende koodibaasidest leitud haavatavuste arvu murettekitavat kasvu, mis viitab haavatavuse leevendamise murettekitavale puudumisele.
Üks oluline valdkond, mis on jätkuvalt väljakutseks, on plaastrihaldus. 1,703 auditeeritud koodibaasist 89% sisaldas avatud lähtekoodi, mis oli enam kui neli aastat vananenud (5% rohkem kui 2022. aasta aruanne). Ja 91% kasutas komponente, mis ei olnud uusim saadaolev versioon. See tähendab, et värskendus või plaaster oli saadaval, kuid seda ei rakendatud. Lisaks plaastrihaldusele tekitavad litsentsikonfliktid jätkuvalt turvaprobleeme. Sel aastal sisaldas 54% auditeeritud koodibaasidest litsentsikonfliktidega koodibaase, mis on 2% rohkem kui eelmisel aastal.
Tarkvara värskendamata jätmisel on mõjuvad põhjused, kuid tõenäoliselt on märkimisväärne osa 91% näitajast tingitud sellest, et arendusmeeskonnad ei tea, et avatud lähtekoodiga komponendi uuem versioon on saadaval. Kui ettevõte ei säilita oma koodis kasutatud avatud lähtekoodi täpset ja ajakohast loendit, võib komponent jääda märkamatuks, kuni see puutub kokku suure riskiga ärakasutamisega.
Täpselt nii juhtus Log4j-ga ja see on endiselt probleem rohkem kui aasta hiljem. Hoolimata avalikkuse tähelepanust ja paljudest sammudest, mida ettevõtted võivad teha Log4j olemasolu kontrollimiseks ja parandamiseks oma koodibaasis, püsib see 5% kõigist koodibaasidest ja 11% auditeeritud Java koodibaasidest.
Looge avatud lähtekoodiga turvalisuse parimad tavad
Tarkvarahalduse parimate tavade kehtestamine võib aidata teil käivitada avatud lähtekoodiga tarkvarahaldusprogrammi, mis kaitseb teie ressursse ja andmeid nullpäeva haavatavuste eest.
1. Määratlege oma poliitika.
Organisatsiooni jaoks avatud lähtekoodiga poliitika loomine vähendab teie juriidilisi, tehnilisi ja äririske. Soovite tuvastada oma peamised sidusrühmad, seejärel määratleda oma organisatsiooni avatud lähtekoodiga tarkvara eesmärgid, olemasolev kasutus ja sihtkasutus. Poliitika peaks hõlmama avatud lähtekoodiga plaastreid ja litsentse, samuti määratlema, kes vastutab nende hooldamise eest.
2. Looge heakskiitmisprotsess.
Looge heakskiitmisprotsess, et hinnata, kas tarkvarapakett vastab teie organisatsiooni vajadustele ja kvaliteedistandarditele. Võtke arvesse koodi kvaliteeti, tuge, projekti küpsust, kaasautori mainet ja haavatavuse mustreid. Neid kriteeriume arvestav heakskiitmisprotsess takistab meeskondadel teie organisatsiooni koodis sama tarkvarapaketi mitut versiooni, millest mõnda ei pruugi olla paigatud või täiendatud.
3. Avatud lähtekoodiga tarkvara audit.
Auditid paljastavad teie avatud lähtekoodiga tarkvara ja tagavad vastavuse ettevõtte eeskirjadele. See võib aidata teil leida avatud lähtekoodiga litsentsi vastavuse ja haavatavuse avalikustamise komponente. Peaksite teostama avatud lähtekoodiga skannimist kogu tarkvaraarenduse elutsükli (SDLC) jooksul, kuid peaksite tagama, et viimane skannimine tehakse iga kord, kui rakendus on avatud lähtekoodiga tarkvara kasutavasse väljalaskekandidaati sisse ehitatud, eriti kui tuginete kolmandatelt komponentidelt. peod.
4. Ehitage SBOM
Tarkvara materjalide arve (SBOM) on kõigi koodibaasis sisalduvate avatud lähtekoodiga ja kolmanda osapoole komponentide loend. SBOM loetleb ka neid komponente reguleerivad litsentsid, koodibaasis kasutatavate komponentide versioonid ja nende paiga oleku, mis võimaldab turvameeskondadel kiiresti tuvastada kõik seotud turva- või litsentsiriskid. Selle toimingu automatiseerimine välistab käsitsi tehtud ebatäpsed avatud lähtekoodiga varud.
Õigete turbetavade kasutuselevõtmisega saate hoida end kursis avatud lähtekoodiga haavatavuse riskiga ja luua selle haldamiseks tugeva süsteemi.
Teave Autor
Charlotte Freeman on kirjutanud tehnoloogiast ja turvalisusest üle 20 aasta. Praegu on ta Synopsys Software Integrity Groupi turvalisuse vanemkirjutaja.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/open-source-vulnerabilities-still-pose-a-big-challenge-for-security-teams
