Sårbarheder i open source går undertiden ubemærket hen i mere end 4 år

Sikkerhedssårbarheder i open source-software bliver undertiden uopdaget i mere end fire år. Dette er en af ​​nøglefundene i den seneste status for Octoverse-rapporten af GitHub-softwareudviklingshosting- og managementplatformen.

Dog denne erklæring er ikke helt sand, eftersom baseret på teknologisk fremskridt og det faktum, at i de senere år har mange store virksomheder og udviklere tilsluttet sig open source-software, dette har givet mulighed for et stadig hurtigere fremskridt med hensyn til udvikling, oprettelse af værktøjer til test og især detektion af sårbarheder.

Selvom det stadig er en realitet, er der utilstrækkelig finansiering (fører til en reduktion af menneskelige ressourcer) er det meste af tiden en hindring for søgningen og opdagelsen af ​​disse sårbarheder.

Heartbleed er for eksempel en sårbarhed af software til stede i kryptobiblioteket OpenSSL siden marts 2012. Tillader en hacker at læse hukommelsen på en server eller klient for at gendanne brugt under en kommunikation med Transport Layer Security Protocol (TLS). Fejlen, der påvirker mange internettjenester, blev først opdaget i marts 2014 og blev offentliggjort i april 2014. Det efterlod et to-årigt vindue for hackere til at angribe tusinder af servere.

Sårbarheden sluttede angiveligt i OpenSSL-arkivet ved en fejltagelse efter et forslag fra en frivillig udvikler om at rette fejl og forbedre funktioner.

Mangler af denne type (indtastet ved en fejltagelse) repræsenterer 83% af de opdagede i projekter open source hostet på GitHub. Dog den seneste status for Octoverse-rapporten anfører, at 17% er sårbarheder, der med vilje er indført af ondsindede tredjeparter.

Dette er tal, der skal suppleres med en nylig Risksense-rapport, der understreger, at fejl i open source-software konstant vokser. IT-projekter er i stigende grad baseret på open source, hvilket forklarer den voksende interesse hos hackere i marken.

En sårbarhed kan skabe kaos på dit arbejde og forårsage store sikkerhedsproblemer. Imidlertid skyldes de fleste sårbarheder fejl, ikke ondsindede angreb.

Ved at stole på open source, når du kan, drager dit team fordel af alle de rettelser, der findes og afhjælpes af samfundet. Tid til afhjælpning er en vigtig komponent for alle DevOps-hold

Finansieringsmodellen fra open source-sfæren er blandt de faktorer, der mest sandsynligt forklarer, hvorfor softwaresårbarheder De går ubemærket hen under så vigtige øjeblikke. Centralinfrastrukturinitiativet (CII) er et af de få projekter, der finansierer og støtter gratis og open source-softwareprojekter, der er vigtige for, at Internettet og andre store informationssystemer fungerer.

De fleste af projekterne på GitHub er baseret på open source-software. Denne analyse omfattede offentlige open source-arkiver med mindst et bidrag i hver måned mellem 10.1.2019 og 30.09.2020.

Sidstnævnte har været genstand for en meddelelse efter den kritiske Heartbleed-sårbarhed i OpenSSL, der bruges af millioner af websteder. Problem: CII er afhængig af bidrag fra veletablerede spillere i verden af ​​proprietær software. Facebook, VMWare, Microsoft, Comcast og Oracle (for blot at nævne disse virksomheder) finansierer Linux Foundation og dermed projekter som Central Infrastructure Initiative (CII).

Dette giver dem pladser i de forskellige beslutningsudvalg og derfor en vis kontrol over, hvad der sker i open source-arenaen. Bryan Lunduke, et tidligere openSUSE-bestyrelsesmedlem, diskuterer denne situation nærmere.

Den umiddelbare konsekvens er, at open source-projekter, der drager fordel af finansiering er dem, som deres infrastruktur hovedsagelig er baseret på.

Endelig hvis du er interesseret i at vide mere om detkan du se følgende websted, hvor du kan finde de indsamlede rapporter.

Linket er dette.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.