Contenuto
- Open Source Ovunque
- Vulnerabilità Open Source: i risultati sono disponibili
- Qual è il più vulnerabile di tutti?
- Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
- Il selvaggio West delle vulnerabilità dell'open source
- La comunità open source è al top della sicurezza: ora gli utenti devono recuperare
- Come andare avanti in sicurezza Open Source
Porta via:
I componenti open source sono un ottimo modo per creare software, ma le vulnerabilità al loro interno potrebbero mettere in pericolo l'intera organizzazione. Conosci i rischi e tieniti aggiornato sulle soluzioni di sicurezza open source per proteggere te stesso e la tua azienda.
Mentre i team di sviluppo corrono per tenere il passo con il ritmo competitivo della produzione di software, i componenti open source sono diventati parte integrante della cassetta degli attrezzi di ogni sviluppatore, aiutandoli a creare e spedire prodotti innovativi alla velocità di DevOps.
L'aumento costante dell'utilizzo dell'open source, insieme alle violazioni dei dati che afferrano il titolo come la violazione di Equifax che ha sfruttato le vulnerabilità nei componenti open source, potrebbe finalmente avere le organizzazioni pronte a gestire la sicurezza dell'open source e affrontare il Wild West delle vulnerabilità dell'open source. La domanda è, tuttavia, se sanno da dove cominciare. (Per saperne di più, vedi Qualitative vs Quantitative: Time to Change Come valutiamo la gravità delle vulnerabilità di terze parti?)
Open Source Ovunque
WhiteSource ha recentemente pubblicato il Rapporto sulla gestione delle vulnerabilità dello stato open source per fornire approfondimenti per aiutare le organizzazioni a comprendere meglio come affrontare la sicurezza open source. Secondo il rapporto, che includeva i risultati di un sondaggio sull'uso dell'open source condotto tra 650 sviluppatori dagli Stati Uniti e dall'Europa occidentale, un enorme 87,4 per cento degli sviluppatori fa affidamento su componenti open source "molto spesso" o "tutto il tempo. "Un altro 9,4 per cento ha risposto che" a volte "usano componenti open source. Ciò che si è distinto è che solo il 3,2% dei partecipanti ha risposto di non utilizzare mai l'open source, il che è stato probabilmente considerato il risultato della politica aziendale.
Questi numeri dimostrano chiaramente oltre ogni dubbio che uno sviluppatore che lavora su un progetto software sta probabilmente sfruttando i componenti open source.
Vulnerabilità Open Source: i risultati sono disponibili
Il rapporto ha anche approfondito il database open source di WhiteSource, che è aggregato dal National Vulnerability Database (NVD), avvisi di sicurezza, database di vulnerabilità rivisti da peer e popolari tracker di problemi open source, per conoscere le vulnerabilità open source di cui i team di sviluppo hanno bisogno avere a che fare con.
I risultati hanno mostrato che il numero di vulnerabilità open source conosciute ha raggiunto il massimo storico nel 2017 con quasi 3.500 vulnerabilità. Si tratta di un aumento di oltre il 60 percento del numero di vulnerabilità open source divulgate rispetto al 2016 e la tendenza non mostra alcun segno di rallentamento nel 2018.
Qual è il più vulnerabile di tutti?
La ricerca ha anche approfondito il database per trovare i progetti open source più vulnerabili e ha prodotto risultati sorprendenti. Mentre il 7,5% di tutti i progetti open source sono vulnerabili, il 32% dei primi 100 progetti open source più popolari presenta almeno una vulnerabilità.
Mentre una vulnerabilità è sufficiente per mettere a rischio più librerie, un progetto vulnerabile open source contiene in media otto vulnerabilità. Ciò significa che i progetti open source più popolari sono spesso anche quelli che presentano maggiori vulnerabilità.
Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.
Questa intuizione diventa ancora più chiara quando guardiamo l'elenco dei primi 10 progetti open source con il maggior numero di vulnerabilità open source. La lista dei primi 10 include progetti open source estremamente popolari che molti di noi stanno utilizzando.
Questi progetti hanno più di una cosa in comune: la maggior parte di essi sono componenti front-end rivolti a Internet con ampie superfici di attacco molto esposti, che li rendono relativamente facili da sfruttare. Ecco perché attirano molta attenzione della comunità di ricerca sulla sicurezza open source.
Un altro aspetto che molti di questi progetti condividono è che la maggior parte sono supportati da società commerciali. Date le poste e le risorse dietro di loro, ci si potrebbe chiedere: in che modo i progetti sostenuti da attori così grandi potrebbero essere così vulnerabili?
Il selvaggio West delle vulnerabilità dell'open source
In passato, la scoperta di vulnerabilità dell'open source avrebbe suscitato un vivace dibattito sul fatto che i componenti dell'open source fossero mantenuti abbastanza bene da essere sicuri per l'uso. Fortunatamente, quei giorni sono finiti e oggi sappiamo che l'aumento delle vulnerabilità dell'open source segnalate dimostra quanto rapidamente la comunità open source e la comunità della sicurezza stiano rispondendo per stare al passo con il panorama delle minacce.
La crescita esponenziale della comunità open source insieme alla scoperta tardiva di famigerate vulnerabilità open source in componenti selvaggiamente popolari, come quelli che hanno permesso a Heartbleed di prosperare, hanno portato una maggiore consapevolezza della sicurezza open source e un esercito di ricercatori che analizza open source progetti per le vulnerabilità, nonché una rapida inversione di tendenza per le correzioni.
In effetti, il rapporto WhiteSource ha rilevato che il 97% di tutte le vulnerabilità segnalate ha almeno una soluzione suggerita nella comunità open source, con aggiornamenti di sicurezza generalmente pubblicati entro pochi giorni dalla pubblicazione di una vulnerabilità. (Per ulteriori informazioni sull'open source, controlla Open Source: è troppo bello per essere vero?)
La comunità open source è al top della sicurezza: ora gli utenti devono recuperare
Mentre la collaborazione e gli sforzi della comunità open source per migliorare la sicurezza dell'open source stanno sicuramente mostrando risultati in termini di individuazione delle vulnerabilità, divulgazione e soluzioni rapide, è difficile per gli utenti tenere il passo, a causa della natura decentralizzata della comunità open source.
Quando gli sviluppatori utilizzano componenti software commerciali, gli aggiornamenti di versione fanno parte del servizio per il quale pagano e i fornitori possono essere molto spinti a assicurarsi di vederlo.
Non è così che funziona l'open source. Dati WhiteSource che hanno mostrato che solo l'86 percento delle vulnerabilità open source segnalate appare nel database CVE. Questo perché la natura collaborativa e decentralizzata della comunità open source significa che le informazioni e gli aggiornamenti sulle vulnerabilità open source sono pubblicati su centinaia di risorse. Questo tipo di informazioni è impossibile da tracciare manualmente, soprattutto se si considera il volume di utilizzo dell'open source.
Come andare avanti in sicurezza Open Source
L'aumento costante delle vulnerabilità dell'open source è una sfida che le organizzazioni devono affrontare direttamente, considerando quanto sia diventato comune l'uso dell'open source. Mentre l'elevato numero di vulnerabilità dell'open source, inclusi i progetti più popolari, potrebbe sembrare schiacciante, apprendere il modo in cui la comunità gestisce la sicurezza dell'open source è un passo nella giusta direzione.
Il prossimo passo è accettare che la gestione della sicurezza open source abbia una serie diversa di regole, strumenti e pratiche rispetto alla protezione di componenti commerciali o proprietari. Attenersi agli stessi programmi e strumenti di gestione delle vulnerabilità non aiuta con la gestione della sicurezza open source.
L'adozione di una politica di sicurezza open source che affronta queste differenze e l'integrazione delle tecnologie giuste per automatizzare la loro gestione aiuterà i team di sicurezza e sviluppo ad affrontare frontalmente le sfide uniche delle vulnerabilità dell'open source, consentendo loro di tornare al business della creazione di software eccezionale.