هوش داده افلاطون
جستجوی عمودی و هوش مصنوعی

آسیب‌پذیری‌های منبع باز همچنان چالش بزرگی برای تیم‌های امنیتی است

تاریخ:

در تمام بخش‌های صنعت، نرم‌افزار منبع باز همچنان یک چالش برای امنیت نرم‌افزار است. همه ما می‌دانیم که آسیب‌پذیری‌ها در نرم‌افزارها، برنامه‌ها و سیستم‌های عامل تجاری و منبع باز می‌تواند منجر به نقض زنجیره تامین نرم‌افزار شود، اما اکنون شاهد مهاجمانی هستیم که برنامه‌های کاربردی وب، سرورهای API، دستگاه‌های تلفن همراه و اجزای نرم‌افزار را هدف قرار می‌دهند. برای ساخت آنها لازم است.

آخرین نسخه از مطالعه سالانه Synopsys در مورد امنیت منبع باز به تازگی منتشر شده است. این "امنیت منبع باز و تجزیه و تحلیل ریسک" (OSSRA) مطالعه سینوپسیس به یافته های بیش از 1,700 ممیزی مبتنی بر کد تجاری می پردازد.

از 1,703 پایگاه کدی که Synopsys در سال 2022 ممیزی کرد، 96٪ آنها حاوی متن باز بودند. هوافضا، هوانوردی، خودرو، حمل و نقل و تدارکات؛ EdTech; و اینترنت اشیاء سه بخش از 17 بخش صنعت گنجانده شده در گزارش OSSRA در سال 2023 بودند که در 100٪ از پایگاه های کد ممیزی شده خود منبع باز داشتند. در عمودهای باقی مانده، بیش از 92 درصد از پایگاه های کد حاوی منبع باز بودند.

آسیب‌پذیری‌های پرخطر در کد ادامه دارند

از سال 2019، آسیب‌پذیری‌های پرخطر حداقل 42 درصد در تمام 17 کسب‌وکار OSSRA افزایش یافته است، با افزایش به 557 درصد در بخش‌های خرده‌فروشی و تجارت الکترونیک و 317 درصد در بخش سخت‌افزار رایانه و نیمه هادی‌ها.

یک مرور گذشته نگر پنج ساله، که در گزارش OSSRA امسال جدید است، تصویر جامع تری از روندهای منبع باز و امنیتی ارائه می دهد. علیرغم تغییرات در صنعت، محتوای منبع باز کلی پایگاه های کد ممیزی شده در سراسر جهان رشد کرد. چندین صنعت نیز افزایش هشداردهنده‌ای در تعداد آسیب‌پذیری‌های موجود در پایگاه‌های کدشان نشان دادند، که نشان‌دهنده عدم کاهش آسیب‌پذیری نگران‌کننده است.

یکی از زمینه های مهم که همچنان یک چالش است، مدیریت پچ است. از 1,703 پایگاه کد ممیزی شده، 89٪ حاوی منبع باز بود که بیش از چهار سال از تاریخ گذشته بود (5٪ افزایش نسبت به گزارش سال 2022). و 91٪ از اجزایی استفاده کردند که آخرین نسخه موجود نبود. یعنی آپدیت یا پچ موجود بود اما اعمال نشد. در کنار مدیریت پچ، تداخل مجوزها همچنان مشکلات امنیتی ایجاد می کند. در سال جاری، 54 درصد از پایگاه های کد ممیزی شده حاوی پایگاه های کد با تداخل مجوز بودند که نسبت به سال گذشته 2 درصد افزایش داشت.

دلایل معتبری برای به‌روزرسانی نشدن نرم‌افزار وجود دارد، اما بخش قابل‌توجهی از رقم 91 درصد احتمالاً به دلیل عدم آگاهی تیم‌های توسعه از موجود بودن نسخه جدیدتر یک مؤلفه منبع باز است. اگر یک شرکت موجودی دقیق و جاری منبع باز مورد استفاده در کد خود را حفظ نکند، ممکن است یک جزء تا زمانی که در معرض یک سوء استفاده پرخطر قرار نگیرد، مورد توجه قرار نگیرد.

این دقیقاً همان چیزی است که در مورد Log4j اتفاق افتاد، و هنوز پس از گذشت بیش از یک سال، این مشکل همچنان وجود دارد. علیرغم توجه عمومی که کسب و کارها ممکن است برای تأیید و اصلاح حضور Log4j در پایگاه کد خود بردارند، در 5٪ از همه پایگاه های کد و 11٪ از پایگاه های کد ممیزی شده جاوا همچنان ادامه دارد.

بهترین روش های منبع باز برای امنیت را ایجاد کنید

ایجاد بهترین شیوه های حاکمیت نرم افزار می تواند به شما کمک کند یک برنامه مدیریت نرم افزار منبع باز راه اندازی کنید تا از منابع و داده های خود در برابر آسیب پذیری های روز صفر محافظت کنید.

1. خط مشی خود را مشخص کنید.

ایجاد یک سیاست منبع باز برای سازمان شما خطرات قانونی، فنی و تجاری شما را به حداقل می رساند. شما می خواهید ذینفعان کلیدی خود را شناسایی کنید، سپس اهداف نرم افزار منبع باز سازمان خود، استفاده موجود و استفاده هدف را تعریف کنید. این خط‌مشی باید وصله‌ها و مجوزهای منبع باز و همچنین شناسایی افرادی که مسئول نگهداری از آنها هستند را پوشش دهد.

2. یک فرآیند تأیید ایجاد کنید.

برای ارزیابی اینکه آیا بسته نرم افزاری نیازها و استانداردهای کیفی سازمان شما را برآورده می کند، یک فرآیند تأیید ایجاد کنید. کیفیت کد، پشتیبانی، بلوغ پروژه، شهرت مشارکت کننده و الگوهای آسیب پذیری را در نظر بگیرید. یک فرآیند تأیید که این معیارها را در نظر می گیرد، تیم ها را از داشتن چندین نسخه از بسته نرم افزاری یکسان در کد سازمان شما که ممکن است برخی از آنها وصله یا ارتقاء نیافته باشند، باز می دارد.

3. حسابرسی برای نرم افزار منبع باز.

ممیزی ها نرم افزار منبع باز شما را نشان می دهد و از انطباق با مقررات شرکت اطمینان حاصل می کند. این می تواند به شما کمک کند اجزای مربوط به مطابقت با مجوز منبع باز و افشای آسیب پذیری را پیدا کنید. شما باید اسکن های متن باز را در طول چرخه عمر توسعه نرم افزار (SDLC) انجام دهید، اما باید اطمینان حاصل کنید که اسکن نهایی هر بار که یک برنامه در یک کاندید انتشار که از نرم افزار منبع باز استفاده می کند، انجام می شود، به خصوص اگر به اجزای سوم تکیه می کنید. مهمانی.

4. یک SBOM بسازید

صورتحساب مواد نرم افزاری (SBOM) لیستی از تمام اجزای منبع باز و شخص ثالث موجود در یک پایگاه کد است. یک SBOM همچنین مجوزهای حاکم بر آن مؤلفه‌ها، نسخه‌های مؤلفه‌های مورد استفاده در پایگاه کد و وضعیت وصله آنها را فهرست می‌کند، که به تیم‌های امنیتی اجازه می‌دهد تا به سرعت هرگونه خطر امنیتی یا مجوز مرتبط را شناسایی کنند. خودکار کردن این عملیات، موجودی های منبع باز دستی و نادرست را حذف می کند.

با قرار دادن شیوه‌های امنیتی مناسب، می‌توانید در بالای خطر آسیب‌پذیری منبع باز خود باقی بمانید و یک سیستم قوی برای مدیریت آن بسازید.

درباره نویسنده

شارلوت فریمن

شارلوت فریمن بیش از 20 سال است که در مورد فناوری و امنیت می نویسد. او در حال حاضر یک نویسنده ارشد امنیتی برای گروه یکپارچگی نرم افزار سینوپسی است.

نقطه_img

جدیدترین اطلاعات

نقطه_img