Уразливості у відкритому коді іноді залишаються непоміченими більше 4 років

Вразливості безпеки у програмному забезпеченні з відкритим кодом часом не виявляються більше чотирьох років. Це одна з ключових висновків останньої доповіді про стан Октоверсу платформи хостингу та управління розробкою програмного забезпечення GitHub.

Однак це твердження не зовсім вірно, з на основі технологічного прогресу і той факт, що в останні роки багато великих компаній та розробників приєдналися до програмного забезпечення з відкритим кодом, це дозволило дедалі швидше прогресувати в плані розробки, створення інструментів для тестування та особливо виявлення вразливості.

Хоча це все ще реальність полягає в тому, що недостатнє фінансування (що призводить до скорочення людських ресурсів) більшість часу є перешкодою для пошуку та виявлення цих вразливих місць.

Наприклад, серцевий кровотеча - це вразливість програмного забезпечення, що знаходиться в криптобібліотеці OpenSSL з березня 2012 року. Дозволяє зловмиснику читати пам'ять сервера або клієнта для відновлення, використовуваної під час зв'язку з протоколом безпеки транспортного рівня (TLS). Вада, яка впливає на багато Інтернет-служб, була виявлена ​​лише в березні 2014 року і була оприлюднена в квітні 2014 року. Хакери залишили дворічне вікно для атаки тисяч серверів.

Імовірно, вразливість потрапила до сховища OpenSSL помилково за пропозицією розробника-волонтера виправити помилки та вдосконалити функції.

Дефекти цього типу (введено помилково) представляють 83% виявлених у проектах з відкритим кодом, розміщеним на GitHub. Однак остання доповідь про стан Октоверсу зазначає, що 17% - це уразливості, навмисно запроваджені зловмисними третіми сторонами.

Це цифри, які слід доповнити недавньою доповіддю Risksense, в якій наголошується, що недоліки програмного забезпечення з відкритим кодом постійно зростають. ІТ-проекти все частіше базуються на відкритих кодах, що пояснює зростаючий інтерес хакерів до цієї галузі.

Уразливість може спричинити хаос у вашій роботі та спричинити масштабні проблеми безпеки. Однак більшість вразливостей пов’язані з помилками, а не зловмисними атаками.

Покладаючись на відкритий код, коли ви можете, ваша команда отримує вигоду від усіх виправлень, знайдених та виправлених спільнотою. Час на відновлення є важливою складовою для всіх команд DevOps

Модель фінансування із сфери відкритого коду є одним із факторів, що найбільш імовірно пояснюють, чому вразливості програмного забезпечення Вони залишаються непоміченими в такі важливі моменти. Ініціатива центральної інфраструктури (ІСІ) є одним з небагатьох проектів з фінансування та підтримки проектів програмного забезпечення з вільним відкритим кодом, які мають важливе значення для функціонування Інтернету та інших великих інформаційних систем.

Більшість проектів на GitHub засновані на програмному забезпеченні з відкритим кодом. Цей аналіз включав відкриті сховища із відкритим кодом із принаймні одним внеском кожного місяця між 10.1.2019 та 30.09.2020.

Останнє було предметом оголошення після критичної вразливості Heartbleed у OpenSSL, що використовується мільйонами веб-сайтів. Проблема: ІСІ покладається на внески добре відомих гравців у світі власного програмного забезпечення. Facebook, VMWare, Microsoft, Comcast та Oracle (якщо назвати лише ці компанії) фінансують Linux Foundation, а отже, такі проекти, як Центральна інфраструктурна ініціатива (ІСІ).

Це дає їм місця в різних комісіях, що приймають рішення, і, отже, певний контроль над тим, що відбувається на арені з відкритим кодом. Браян Ландук, колишній член правління openSUSE, детальніше обговорює такий стан справ.

Безпосереднім наслідком є ​​те проекти з відкритим кодом, які отримують вигоду від фінансування це ті, на яких в основному базується їх інфраструктура.

Нарешті, якщо вам цікаво дізнатись більше про це, Ви можете переглянути веб-сайт, на якому ви зможете знайти зібрані звіти.

Посилання це.


Будьте першим, щоб коментувати

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.