Нээлттэй эх сурвалж дахь эмзэг байдал заримдаа 4 жил гаруй хугацаанд анзаарагдахгүй өнгөрдөг

Нээлттэй эхийн програм хангамжийн аюулгүй байдлын эмзэг байдал заримдаа илрэхгүй болдог дөрвөн жил гаруй. Энэ бол Октоверс муж улсын хамгийн сүүлийн үеийн тайлангийн гол үр дүнгийн нэг юм GitHub програм хангамж хөгжүүлэх хостинг, менежментийн платформ.

Гэсэн хэдий ч, энэ мэдэгдэл нь бүрэн үнэн биш, Учир нь технологийн дэвшилд суурилсан Сүүлийн жилүүдэд олон томоохон компаниуд, хөгжүүлэгчид нээлттэй эхийн програм хангамжтай нэгдсэн нь хөгжүүлэлт, туршилт хийх хэрэгсэл, ялангуяа эмзэг байдлыг илрүүлэх чиглэлээр улам бүр хурдацтай ахиц дэвшил гаргах боломжийг олгож байна.

Хэдийгээр энэ нь бодит байдал хэвээр байгаа нь хангалтгүй санхүүжилт юм (хүний ​​нөөцийг багасгахад хүргэж байна) ихэнх тохиолдолд хайлт хийхэд саад болдог эдгээр эмзэг байдлыг олж илрүүлэх.

Жишээлбэл, зүрхний цус алдалт нь эмзэг байдал юм криптографийн номын санд байгаа програм хангамжийн тухай 2012 оны XNUMX-р сараас хойш OpenSSL. Энэ нь халдагчид Сервер эсвэл үйлчлүүлэгчийн санах ойг унших боломжийг олгож, Transport Layer Security (TLS) протоколтой харилцах явцад ашигласан зүйлийг сэргээж өгдөг. Интернетийн олон үйлчилгээнд нөлөөлж буй энэхүү алдааг 2014 оны 2014-р сар хүртэл олж илрүүлээгүй бөгөөд XNUMX оны XNUMX-р сард олон нийтэд ил болгосон нь хакеруудад олон мянган сервер рүү халдах хоёр жилийн цонх үлдээжээ.

Эмзэг байдал нь алдаа гаргасны дараа OpenSSL репозиторт орсон гэж үздэг алдаагаа засах, онцлог шинж чанараа сайжруулах сайн дурын хөгжүүлэгчийн саналыг дагаж мөрдөх.

Энэ төрлийн согогууд (андуурч оруулсан) төслүүдэд нээгдсэн хүмүүсийн 83% -ийг төлөөлдөг GitHub дээр байрлуулсан нээлттэй эх сурвалж. Гэсэн хэдий ч, Октоверс мужийн хамгийн сүүлийн үеийн тайлан 17% нь хор хөнөөлтэй гуравдагч этгээдийн санаатайгаар нэвтрүүлсэн эмзэг байдал юм гэжээ.

Эдгээр нь нээлттэй эхийн програм хангамжийн алдаанууд байнга нэмэгдэж байгааг онцолсон саяхны Risksense-ийн тайланд нэмж оруулах ёстой тоо баримтууд юм. МТ-ийн төслүүд нээлттэй эх сурвалж дээр улам бүр нэмэгдэж байгаа нь хакеруудын энэ салбарт улам их сонирхох болсоныг тайлбарлаж байна.

Эмзэг байдал нь таны ажилд сөргөөр нөлөөлж, аюулгүй байдлын томоохон асуудлуудыг үүсгэдэг. Гэсэн хэдий ч ихэнх эмзэг байдал нь хорлонтой халдлага бус алдаанаас үүдэлтэй байдаг.

Боломжтой бол нээлттэй эх сурвалжид найдсанаар танай хамт олноос олж, засч залруулсан бүх засварын үр шимийг хүртэх болно. Дахин засах цаг бол бүх DevOps багуудын чухал бүрэлдэхүүн хэсэг юм

Санхүүжилтийн загвар нээлттэй эх үүсвэрээс програм хангамжийн эмзэг байдлыг яагаад тайлбарлах хамгийн их хүчин зүйлүүдийн нэг юм Ийм чухал мөчид тэд анзаарагдахгүй өнгөрдөг. Төвийн дэд бүтцийн санаачилга (CII) нь интернет болон бусад томоохон мэдээллийн системийн үйл ажиллагаанд зайлшгүй шаардлагатай үнэгүй, нээлттэй эхийн програм хангамжийн төслүүдийг санхүүжүүлж, дэмжих цөөн төслүүдийн нэг юм.

GitHub дээрх төслүүдийн ихэнх нь нээлттэй эхийн програм хангамж дээр суурилдаг. Энэхүү шинжилгээнд 10.1.2019 оны 30.09.2020-р сарын XNUMX-наас XNUMX-ны хооронд сар бүр дор хаяж нэг хувь нэмэр оруулсан нээлттэй эх сурвалж бүхий олон нийтийн мэдээллийн санг багтаасан болно.

Сүүлийнх нь сая сая вэбсайтуудад ашиглагддаг OpenSSL-ийн Heartbleed-ийн эмзэг байдлын дараа зар сурталчилгааны сэдэв болсон. Асуудал: CII нь өмчийн програм хангамжийн ертөнцөд батлагдсан тоглогчдын оруулсан хувь нэмэр дээр тулгуурладаг. Facebook, VMWare, Microsoft, Comcast, Oracle (эдгээр компаниудыг нэрлэвэл) Линуксийн сан, ингэснээр Төвийн дэд бүтцийн санаачилга (CII) зэрэг төслүүдийг санхүүжүүлдэг.

Энэ нь тэдэнд янз бүрийн шийдвэр гаргах самбар дээр суудал олгож, улмаар нээлттэй эх үүсвэрт болж буй үйл явдлыг хянах боломжийг олгодог. OpenSUSE-ийн Удирдах зөвлөлийн гишүүн асан Брайан Лундуке энэ байдлын талаар илүү дэлгэрэнгүй авч үзэв.

Үүний шууд үр дагавар нь тэр юм санхүүжилтээс ашиг хүртдэг нээлттэй эх үүсвэртэй төслүүд дэд бүтэц нь голчлон суурилдаг.

Эцэст нь, Хэрэв та энэ талаар илүү ихийг мэдэхийг хүсч байвал, та цуглуулсан тайланг олж авах боломжтой дараахь вэбсайтаас зөвлөгөө авах боломжтой.

Холбоос энэ байна.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.