Nilalaman
- Buksan ang Pinagmulan Saanman
- Open Source Vulnerability: Ang Mga Resulta Ay Nasa
- Ano ang Pinaka-Vulnerable ng Lahat Nila?
- Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
- Ang Wild West ng Open Source Vulnerability
- Ang Bukas na Komunidad ng Pinagmumulan Ay nasa Itaas ng Seguridad - Kailangang Makibalita Ngayon ang Mga Gumagamit
- Paano Makakauna sa Open Source Security
Takeaway:
Ang mga bukas na bahagi ng mapagkukunan ay isang mahusay na paraan upang makabuo ng software, ngunit ang mga kahinaan sa loob nito ay maaaring mapanganib ang iyong buong samahan. Alamin ang mga panganib at manatiling napapanahon sa bukas na mga mapagkukunan ng solusyon sa seguridad upang maprotektahan ang iyong sarili at ang iyong negosyo.
Bilang lahi ng mga koponan ng pag-unlad upang mapanatili ang mapagkumpitensyang bilis ng paggawa ng software, ang bukas na mga sangkap ng mapagkukunan ay naging isang mahalagang bahagi ng bawat toolbox ng developer, na tinutulungan silang lumikha at magpadala ng mga makabagong produkto sa bilis ng DevOps.
Ang pare-pareho na pagtaas ng bukas na paggamit ng mapagkukunan, kasama ang mga paglabag sa data ng pagdidikit tulad ng paglabag sa Equifax na nagsasamantala sa mga kahinaan sa bukas na mga bahagi ng mapagkukunan, maaaring sa wakas ay magkaroon ng mga samahan na handa na pamahalaan ang bukas na mapagkukunan ng seguridad at tugunan ang Wild West ng mga bukas na kahinaan sa mapagkukunan. Ang tanong ay, kahit na, alam nila kung saan magsisimula. (Upang matuto nang higit pa, tingnan ang Qualitative kumpara sa Dami: Panahon na Magbabago Paano Natatasa ang Kabanal ng Mga Vulnerability sa Ikatlong-Party?)
Buksan ang Pinagmulan Saanman
Kamakailan lamang na inilathala ng WhiteSource ang Ulat ng Pamamahala ng Pinagmulan ng Pinagmulan ng Pamamahala ng Vulnerability upang magbigay ng mga pananaw upang matulungan ang mga organisasyon na mas maunawaan kung paano lapitan ang bukas na seguridad ng mapagkukunan. Ayon sa ulat, na kasama ang mga resulta ng isang survey sa paggamit ng bukas na mapagkukunan na isinasagawa sa mga 650 developer mula sa US at Kanlurang Europa, isang 8% na porsyento ng mga nag-develop ang umaasa sa bukas na mga bahagi ng mapagkukunan na "napakadalas" o "sa lahat ng oras. "Ang isa pang 9.4 porsyento ay sumagot na sila" paminsan-minsan "ay gumagamit ng mga bukas na bahagi ng mapagkukunan. Ang natiyak lamang na 3.2 porsyento ng mga kalahok ay sumagot na hindi sila gumagamit ng bukas na mapagkukunan, na kung saan ay kinuha upang malamang na bilang isang resulta ng patakaran ng kumpanya.
Ang mga numerong ito ay malinaw na nagpapatunay na lampas sa isang pag-aalinlangan na ang isang developer na nagtatrabaho sa isang proyekto ng software ay marahil ay ang pag-agaw ng mga bahagi ng open source.
Open Source Vulnerability: Ang Mga Resulta Ay Nasa
Ang ulat ay humukay nang malalim sa WhiteSource open source database, na pinagsama-sama mula sa National Vulnerability Database (NVD), mga advisory sa seguridad, mga kahusayan ng kahusayan ng peer na sinuri at mga sikat na open track isyu ng pagsisiyasat, upang malaman ang tungkol sa mga bukas na kahinaan ng mapagkukunan na kailangan ng mga koponan sa pag-unlad. upang makitungo.
Ang mga resulta ay nagpakita na ang bilang ng mga kilalang bukas na kahinaan sa mapagkukunan ay tumama sa lahat ng oras na mataas sa 2017 na may halos 3,500 na kahinaan. Iyon ay tumaas ng higit sa 60 porsyento sa bilang ng isiniwalat na mga bukas na kahinaan sa mapagkukunan kumpara sa 2016, at ang kalakaran ay hindi nagpapakita ng palatandaan ng pagbagal sa 2018.
Ano ang Pinaka-Vulnerable ng Lahat Nila?
Natuklasan din ng pananaliksik ang database upang mahanap ang pinaka-mahina na bukas na mga proyekto ng open source at may mga nakakagulat na resulta. Habang ang 7.5 porsyento ng lahat ng mga open source na proyekto ay mahina, 32 porsyento ng nangungunang 100 pinakatanyag na open source na proyekto ay may hindi bababa sa isang kahinaan.
Habang ang isang kahinaan ay sapat upang maglagay ng maraming mga aklatan sa peligro, ang isang madaling kapitan ng bukas na mapagkukunan na proyekto ay naglalaman ng isang average ng walong kahinaan. Nangangahulugan ito na ang pinakapopular na bukas na mga proyekto ng open source ay madalas din ang mga mataas sa kahinaan.
Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
Hindi mo maaaring mapabuti ang iyong mga kasanayan sa pag-programming kapag walang nagmamalasakit sa kalidad ng software.
Ang pananaw na ito ay nagiging mas malinaw kung titingnan namin ang listahan ng nangungunang 10 mga open source na proyekto na may pinakamataas na bilang ng mga bukas na kahinaan sa mapagkukunan. Ang nangungunang 10 listahan ay nagsasama ng napakapopular na bukas na mga proyekto ng open source na ginagamit ng marami sa atin.
Ang mga proyektong ito ay may higit sa isang bagay sa karaniwan: Karamihan sa mga ito ay nakaharap sa internet, mga bahagi sa harap na may mga malawak na ibabaw ng pag-atake na napakalantad, na ginagawang madali silang samantalahin. Iyon ang dahilan kung bakit nakakaakit sila ng maraming pansin ng bukas na mapagkukunan ng pagsasaliksik ng seguridad ng komunidad.
Ang isa pang aspeto na ibinabahagi ng marami sa mga proyektong ito ay ang karamihan ay sinusuportahan ng mga komersyal na kumpanya. Ibinigay ang mga pusta at mapagkukunan sa likod ng mga ito, maaaring itanong ng isa: Paano kaya masusugatan ang mga proyekto na suportado ng mga malalaking manlalaro?
Ang Wild West ng Open Source Vulnerability
Sa nakaraan, ang pagtuklas ng mga bukas na kahinaan sa mapagkukunan ay magigising ng isang buhay na debate sa kung ang mga bukas na mapagkukunan ng bahagi ay mapanatili nang maayos upang maging ligtas para magamit. Sa kabutihang palad, natapos na ang mga araw na iyon, at alam natin ngayon na ang pagtaas ng naiulat na bukas na mga kahinaan sa mapagkukunan ay nagpapakita kung gaano kabilis ang bukas na mapagkukunan ng komunidad at ang komunidad ng seguridad na tumutugon upang mapanatili ang banta ng pagbabanta.
Ang pagpaparami ng paglago ng komunidad ng bukas na mapagkukunan kasama ang huli na pagtuklas ng mga kilalang mga kahinaan sa bukas na mapagkukunan sa wildly popular na mga sangkap, tulad ng mga nagpapahintulot sa Heartbleed na umunlad, ay nagdala ng isang napataas na kamalayan ng bukas na mapagkukunan ng seguridad, at isang hukbo ng mga mananaliksik na nagsusuri ng bukas na mapagkukunan mga proyekto para sa kahinaan, pati na rin isang mabilis na pag-turnaround para sa pag-aayos.
Sa katunayan, natagpuan ng ulat ng WhiteSource na ang 97 porsyento ng lahat ng naiulat na kahinaan ay may hindi bababa sa isang iminungkahing pag-aayos sa komunidad ng bukas na mapagkukunan, na ang mga pag-update ng seguridad ay karaniwang nai-publish sa loob ng mga araw ng paglalathala ng isang kahinaan. (Para sa higit pa sa bukas na mapagkukunan, suriin ang Bukas na Pinagmulan: Mabuti Bang Maging Totoo?)
Ang Bukas na Komunidad ng Pinagmumulan Ay nasa Itaas ng Seguridad - Kailangang Makibalita Ngayon ang Mga Gumagamit
Habang ang pakikipagtulungan ng komunidad ng bukas na mapagkukunan at pagsisikap sa pagpapabuti ng seguridad ng bukas na mapagkukunan ay tiyak na nagpapakita ng mga resulta sa mga tuntunin ng pagkadiskubre ng kahinaan, pagsisiwalat at mabilis na pag-aayos, mahirap para sa mga gumagamit na panatilihin, dahil sa desentralisadong kalikasan ng bukas na mapagkukunan ng komunidad.
Kapag ginagamit ng mga developer ang mga bahagi ng komersyal na software, ang mga pag-update ng bersyon ay isang bahagi ng serbisyo na babayaran nila at ang mga vendor ay maaaring maging pusy sa pagtiyak na makikita mo ito.
Hindi iyon kung paano gumagana ang bukas na mapagkukunan. Ang data ng WhiteSource na nagpakita na 86 porsyento lamang ng naiulat na bukas na kahinaan ng mapagkukunan ang lumilitaw sa database ng CVE. Ito ay dahil ang pakikipagtulungan at desentralisado na kalikasan ng bukas na mapagkukunan ng komunidad ay nangangahulugan na ang impormasyon at mga update tungkol sa mga bukas na kahinaan ng mapagkukunan ay nai-publish sa kabuuan ng daan-daang mga mapagkukunan. Ang uri ng impormasyon ay imposible na subaybayan nang manu-mano, lalo na kung isasaalang-alang namin ang dami ng paggamit ng bukas na mapagkukunan.
Paano Makakauna sa Open Source Security
Ang pare-pareho na pagtaas ng bukas na mga kahinaan ng mapagkukunan ay isang hamon na dapat tugunan ng mga organisasyon ang head-on, isinasaalang-alang kung paano naging pangkaraniwang bukas na paggamit ng mapagkukunan. Habang ang mataas na bilang ng mga bukas na kahinaan sa mapagkukunan, kabilang ang mga pinakapopular na proyekto, ay maaaring mukhang napakalaki, ang pag-aaral ng paraan na ang pamayanan ay namamahala sa bukas na mapagkukunan ng seguridad ay isang hakbang sa tamang direksyon.
Ang susunod na hakbang ay pagtanggap na ang bukas na pamamahala ng seguridad ng mapagkukunan ay may ibang hanay ng mga patakaran, mga tool at kasanayan kaysa sa pag-secure ng mga komersyal o pagmamay-ari na bahagi. Ang pagdidikit sa parehong mga programa ng pamamahala ng kahinaan at mga tool ay hindi makakatulong sa bukas na pamamahala ng seguridad ng mapagkukunan.
Ang pagpasok ng isang bukas na patakaran ng seguridad ng mapagkukunan na tumutugon sa mga pagkakaiba-iba at pagsasama ng mga tamang teknolohiya upang awtomatiko ang kanilang pamamahala ay makakatulong sa mga pangkat ng seguridad at pag-unlad na harapin ang natatanging mga hamon ng bukas na mga kahinaan ng mapagkukunan, na nagpapahintulot sa kanila na bumalik sa negosyo ng pagbuo ng mahusay na software.