Ашық көздегі осалдықтар кейде 4 жылдан астам уақыт бойы байқалмай қалады

Ашық бастапқы бағдарламалық жасақтамадағы қауіпсіздік осалдықтары кейде анықталмай қалады төрт жылдан астам уақыт. Бұл «Октоверстің күйі» туралы соңғы есеп берудің маңызды қорытындыларының бірі GitHub бағдарламалық жасақтамасын әзірлеу хостингі және басқару платформасы.

Алайда, бұл мәлімдеме толығымен дұрыс емес, өйткені технологиялық прогреске негізделген және соңғы жылдары көптеген ірі компаниялар мен әзірлеушілердің ашық кодты бағдарламалық жасақтамаға қосылуы, бұл даму, тестілеу құралдары мен әсіресе осалдықтарды анықтау құралдары бойынша алға жылжуға мүмкіндік берді.

Қаржыландырудың жеткіліксіздігі әлі де шындық (адам ресурстарының азаюына алып келеді) көп жағдайда іздеуге кедергі болады және осы осалдықтарды табу.

Мысалы, қан кету осалдығы болып табылады криптографиялық кітапханада бар бағдарламалық қамтамасыздандыру 2012 жылдың наурызынан бастап OpenSSL. Бұл шабуылдаушыға сервер немесе клиенттің жадын оқуға мүмкіндік береді, ол Transport Layer Security (TLS) хаттамасымен байланыс кезінде пайдаланылған қалпына келтіруге мүмкіндік береді. Көптеген интернет-қызметтерге әсер ететін кемшіліктер 2014 жылдың наурызына дейін анықталмады және 2014 жылдың сәуірінде жария болды. Бұл хакерлерге мыңдаған серверлерге шабуыл жасау үшін екі жылдық терезе қалдырды.

Осалдық қате арқылы OpenSSL репозиторийіне түсті деп болжануда қателіктерді жою және функцияларды жақсарту туралы ерікті әзірлеушінің ұсынысынан кейін.

Осы типтегі ақаулар (қатемен енгізілген) жобаларда ашылғандардың 83% құрайды GitHub-та орналастырылған ашық ақпарат көзі. Алайда, Октоверстің соңғы есебі 17% зиянды үшінші тараптар қасақана енгізген осалдықтар екенін айтады.

Бұл ашық бастапқы бағдарламалық жасақтамадағы кемшіліктер үнемі өсіп келе жатқандығын атап өткен соңғы Risksense есебімен толықтырылуы керек сандар. АТ-жобалар ашық көзге негізделген, бұл хакерлердің осы салаға деген қызығушылығының артуын түсіндіреді.

Осалдық сіздің жұмысыңызға зиян келтіруі және қауіпсіздіктің ауқымды проблемаларын тудыруы мүмкін. Алайда, осалдықтардың көпшілігі зиянды шабуылдарға емес, қателіктерге байланысты.

Мүмкіндігінше ашық дереккөзге сүйене отырып, сіздің командаңыз қауымдастық тапқан және қалпына келтірген барлық түзетулерден пайда көреді. Қайта қалпына келтіру уақыты барлық DevOps командалары үшін маңызды компонент болып табылады

Қаржыландыру моделі ашық қайнар көзден бағдарламалық қамтамасыз етудің осалдығын түсіндіретін факторлардың бірі болып табылады Олар осындай маңызды сәттерде байқалмай қалады. Орталық инфрақұрылымдық бастама (CII) - бұл Интернеттің және басқа да ірі ақпараттық жүйелердің жұмыс істеуі үшін маңызды, ақысыз және ашық кодты бағдарламалық жасақтама жобаларын қаржыландыратын және қолдайтын бірнеше жобалардың бірі.

GitHub-тағы жобалардың көпшілігі ашық бастапқы бағдарламалық жасақтамаға негізделген. Бұл талдау 10.1.2019 мен 30.09.2020 аралығында әр айда кем дегенде бір салымы бар ашық бастапқы репозитарийлерді қамтыды.

Соңғысы миллиондаған веб-сайттар қолданатын OpenSSL-тағы Heartbleed осалдығынан кейінгі хабарламаның тақырыбы болды. Мәселе: CII меншікті бағдарламалық жасақтама әлеміндегі қалыптасқан ойыншылардың үлестеріне сүйенеді. Facebook, VMWare, Microsoft, Comcast және Oracle (дәл осы компанияларды атауға болады) Linux қорын қаржыландырады және осылайша Орталық инфрақұрылымдық бастама (CII) сияқты жобаларды қаржыландырады.

Бұл оларға әртүрлі шешімдер қабылдау тақталарында орын береді, сондықтан ашық көздер аренасында не болатынын бақылауға мүмкіндік береді. Бұрын openSUSE Басқармасының бұрынғы мүшесі Брайан Лундуке осы жағдай туралы толығырақ талқылайды.

Мұның бірден салдары қаржыландырудан пайда табатын жобалар негізінен олардың инфрақұрылымдары негізделеді.

Соңында, егер сіз бұл туралы көбірек білгіңіз келсе, сіз жиналған есептерді таба алатын келесі веб-сайтқа жүгіне аласыз.

Сілтеме бұл.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.