در تمام بخشهای صنعت، نرمافزار منبع باز همچنان یک چالش برای امنیت نرمافزار است. همه ما میدانیم که آسیبپذیریها در نرمافزارها، برنامهها و سیستمهای عامل تجاری و منبع باز میتواند منجر به نقض زنجیره تامین نرمافزار شود، اما اکنون شاهد مهاجمانی هستیم که برنامههای کاربردی وب، سرورهای API، دستگاههای تلفن همراه و اجزای نرمافزار را هدف قرار میدهند. برای ساخت آنها لازم است.
آخرین نسخه از مطالعه سالانه Synopsys در مورد امنیت منبع باز به تازگی منتشر شده است. این "امنیت منبع باز و تجزیه و تحلیل ریسک" (OSSRA) مطالعه سینوپسیس به یافته های بیش از 1,700 ممیزی مبتنی بر کد تجاری می پردازد.
از 1,703 پایگاه کدی که Synopsys در سال 2022 ممیزی کرد، 96٪ آنها حاوی متن باز بودند. هوافضا، هوانوردی، خودرو، حمل و نقل و تدارکات؛ EdTech; و اینترنت اشیاء سه بخش از 17 بخش صنعت گنجانده شده در گزارش OSSRA در سال 2023 بودند که در 100٪ از پایگاه های کد ممیزی شده خود منبع باز داشتند. در عمودهای باقی مانده، بیش از 92 درصد از پایگاه های کد حاوی منبع باز بودند.
آسیبپذیریهای پرخطر در کد ادامه دارند
از سال 2019، آسیبپذیریهای پرخطر حداقل 42 درصد در تمام 17 کسبوکار OSSRA افزایش یافته است، با افزایش به 557 درصد در بخشهای خردهفروشی و تجارت الکترونیک و 317 درصد در بخش سختافزار رایانه و نیمه هادیها.
یک مرور گذشته نگر پنج ساله، که در گزارش OSSRA امسال جدید است، تصویر جامع تری از روندهای منبع باز و امنیتی ارائه می دهد. علیرغم تغییرات در صنعت، محتوای منبع باز کلی پایگاه های کد ممیزی شده در سراسر جهان رشد کرد. چندین صنعت نیز افزایش هشداردهندهای در تعداد آسیبپذیریهای موجود در پایگاههای کدشان نشان دادند، که نشاندهنده عدم کاهش آسیبپذیری نگرانکننده است.
یکی از زمینه های مهم که همچنان یک چالش است، مدیریت پچ است. از 1,703 پایگاه کد ممیزی شده، 89٪ حاوی منبع باز بود که بیش از چهار سال از تاریخ گذشته بود (5٪ افزایش نسبت به گزارش سال 2022). و 91٪ از اجزایی استفاده کردند که آخرین نسخه موجود نبود. یعنی آپدیت یا پچ موجود بود اما اعمال نشد. در کنار مدیریت پچ، تداخل مجوزها همچنان مشکلات امنیتی ایجاد می کند. در سال جاری، 54 درصد از پایگاه های کد ممیزی شده حاوی پایگاه های کد با تداخل مجوز بودند که نسبت به سال گذشته 2 درصد افزایش داشت.
دلایل معتبری برای بهروزرسانی نشدن نرمافزار وجود دارد، اما بخش قابلتوجهی از رقم 91 درصد احتمالاً به دلیل عدم آگاهی تیمهای توسعه از موجود بودن نسخه جدیدتر یک مؤلفه منبع باز است. اگر یک شرکت موجودی دقیق و جاری منبع باز مورد استفاده در کد خود را حفظ نکند، ممکن است یک جزء تا زمانی که در معرض یک سوء استفاده پرخطر قرار نگیرد، مورد توجه قرار نگیرد.
این دقیقاً همان چیزی است که در مورد Log4j اتفاق افتاد، و هنوز پس از گذشت بیش از یک سال، این مشکل همچنان وجود دارد. علیرغم توجه عمومی که کسب و کارها ممکن است برای تأیید و اصلاح حضور Log4j در پایگاه کد خود بردارند، در 5٪ از همه پایگاه های کد و 11٪ از پایگاه های کد ممیزی شده جاوا همچنان ادامه دارد.
بهترین روش های منبع باز برای امنیت را ایجاد کنید
ایجاد بهترین شیوه های حاکمیت نرم افزار می تواند به شما کمک کند یک برنامه مدیریت نرم افزار منبع باز راه اندازی کنید تا از منابع و داده های خود در برابر آسیب پذیری های روز صفر محافظت کنید.
1. خط مشی خود را مشخص کنید.
ایجاد یک سیاست منبع باز برای سازمان شما خطرات قانونی، فنی و تجاری شما را به حداقل می رساند. شما می خواهید ذینفعان کلیدی خود را شناسایی کنید، سپس اهداف نرم افزار منبع باز سازمان خود، استفاده موجود و استفاده هدف را تعریف کنید. این خطمشی باید وصلهها و مجوزهای منبع باز و همچنین شناسایی افرادی که مسئول نگهداری از آنها هستند را پوشش دهد.
2. یک فرآیند تأیید ایجاد کنید.
برای ارزیابی اینکه آیا بسته نرم افزاری نیازها و استانداردهای کیفی سازمان شما را برآورده می کند، یک فرآیند تأیید ایجاد کنید. کیفیت کد، پشتیبانی، بلوغ پروژه، شهرت مشارکت کننده و الگوهای آسیب پذیری را در نظر بگیرید. یک فرآیند تأیید که این معیارها را در نظر می گیرد، تیم ها را از داشتن چندین نسخه از بسته نرم افزاری یکسان در کد سازمان شما که ممکن است برخی از آنها وصله یا ارتقاء نیافته باشند، باز می دارد.
3. حسابرسی برای نرم افزار منبع باز.
ممیزی ها نرم افزار منبع باز شما را نشان می دهد و از انطباق با مقررات شرکت اطمینان حاصل می کند. این می تواند به شما کمک کند اجزای مربوط به مطابقت با مجوز منبع باز و افشای آسیب پذیری را پیدا کنید. شما باید اسکن های متن باز را در طول چرخه عمر توسعه نرم افزار (SDLC) انجام دهید، اما باید اطمینان حاصل کنید که اسکن نهایی هر بار که یک برنامه در یک کاندید انتشار که از نرم افزار منبع باز استفاده می کند، انجام می شود، به خصوص اگر به اجزای سوم تکیه می کنید. مهمانی.
4. یک SBOM بسازید
صورتحساب مواد نرم افزاری (SBOM) لیستی از تمام اجزای منبع باز و شخص ثالث موجود در یک پایگاه کد است. یک SBOM همچنین مجوزهای حاکم بر آن مؤلفهها، نسخههای مؤلفههای مورد استفاده در پایگاه کد و وضعیت وصله آنها را فهرست میکند، که به تیمهای امنیتی اجازه میدهد تا به سرعت هرگونه خطر امنیتی یا مجوز مرتبط را شناسایی کنند. خودکار کردن این عملیات، موجودی های منبع باز دستی و نادرست را حذف می کند.
با قرار دادن شیوههای امنیتی مناسب، میتوانید در بالای خطر آسیبپذیری منبع باز خود باقی بمانید و یک سیستم قوی برای مدیریت آن بسازید.
درباره نویسنده
شارلوت فریمن بیش از 20 سال است که در مورد فناوری و امنیت می نویسد. او در حال حاضر یک نویسنده ارشد امنیتی برای گروه یکپارچگی نرم افزار سینوپسی است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/open-source-vulnerabilities-still-pose-a-big-challenge-for-security-teams