Ba'zida ochiq manbadagi zaifliklar 4 yildan ortiq vaqt davomida sezilmasdan qolmoqda

Ba'zida ochiq kodli dasturiy ta'minotdagi xavfsizlik nuqsonlari aniqlanmaydi to'rt yildan ortiq. Bu "Oktoverse shtati" ning so'nggi hisobotining asosiy xulosalaridan biridir GitHub dasturiy ta'minotini ishlab chiqish hosting va boshqaruv platformasi.

Ammo bu bayonot butunlay to'g'ri emas, Chunki texnologik taraqqiyotga asoslangan va so'nggi yillarda ko'plab yirik kompaniyalar va ishlab chiquvchilar ochiq kodli dasturiy ta'minotga qo'shilishganligi, bu rivojlanish, sinov uchun vositalar yaratish va ayniqsa zaifliklarni aniqlash borasida tobora tezlashib borishga imkon berdi.

Garchi bu hali ham haqiqat bo'lsa ham, mablag 'yetarli emas (inson resurslarining qisqarishiga olib keladi) ko'pincha qidiruvga to'sqinlik qiladi va ushbu zaif tomonlarni aniqlash.

Masalan, yurak qon ketishi zaiflikdir kriptografiya kutubxonasida mavjud dasturiy ta'minot OpenSSL 2012 yil mart oyidan beri. Bu tajovuzkorga Transport Layer Security (TLS) protokoli bilan aloqa paytida foydalanilgan serverni yoki mijozning xotirasini o'qish imkoniyatini beradi. Ko'pgina Internet xizmatlariga ta'sir ko'rsatadigan nuqson 2014 yil martigacha aniqlanmagan va 2014 yil aprelida ommaga ma'lum bo'lgan. Xakerlar uchun minglab serverlarga hujum qilish uchun ikki yillik oyna qoldirilgan.

Aytilishicha, zaiflik xato bilan OpenSSL omborida tugagan xatolarni tuzatish va funktsiyalarni yaxshilash bo'yicha ko'ngilli ishlab chiquvchining taklifiga binoan.

Ushbu turdagi nuqsonlar (xato bilan kiritilgan) loyihalarda topilganlarning 83 foizini tashkil etadi GitHub-da joylashgan ochiq manba. Biroq, Octoverse shtatining so'nggi hisoboti 17% zararli uchinchi shaxslar tomonidan ataylab kiritilgan zaifliklardir.

Bu ochiq kodli dasturiy ta'minotdagi nuqsonlar doimiy ravishda o'sib borishini ta'kidlaydigan so'nggi Risksense hisoboti bilan to'ldirilishi kerak bo'lgan raqamlar. IT-loyihalar tobora ochiq manbaga asoslangan bo'lib, bu xakerlarning ushbu sohaga bo'lgan qiziqishi tobora ortib borayotganligini tushuntiradi.

Zaiflik sizning ishingizga putur etkazishi va keng ko'lamli xavfsizlik muammolarini keltirib chiqarishi mumkin. Biroq, aksariyat zaifliklar zararli hujumlar emas, balki xatolar tufayli yuzaga keladi.

Imkoningiz borida ochiq manbaga tayanib, sizning jamoangiz hamjamiyat tomonidan topilgan va tuzatilgan barcha tuzatishlardan foyda ko'radi. Tuzatish vaqti barcha DevOps jamoalari uchun muhim tarkibiy qism hisoblanadi

Moliyalashtirish modeli ochiq manbali sohadan dasturiy ta'minotning zaifligini nima uchun tushuntirishga imkon beradigan omillar qatoriga kiradi Bunday muhim daqiqalarda ular e'tiborga olinmaydi. Markaziy infratuzilma tashabbusi (CII) Internet va boshqa yirik axborot tizimlari faoliyati uchun zarur bo'lgan bepul va ochiq kodli dasturiy ta'minot loyihalarini moliyalashtirish va qo'llab-quvvatlashga qaratilgan oz sonli loyihalardan biridir.

GitHub-dagi aksariyat loyihalar ochiq kodli dasturiy ta'minotga asoslangan. Ushbu tahlil 10.1.2019 dan 30.09.2020 gacha bo'lgan har oyda kamida bittadan hissasi bo'lgan ochiq manbali ommaviy omborlarni o'z ichiga oldi.

Ikkinchisi millionlab veb-saytlar tomonidan ishlatiladigan OpenSSL-dagi Heartbleed tanqidiy zaifligidan so'ng e'lon mavzusi bo'ldi. Muammo: CII mulkiy dasturiy ta'minot dunyosida taniqli o'yinchilarning hissalariga tayanadi. Facebook, VMWare, Microsoft, Comcast va Oracle (aynan shu kompaniyalarni aytganda) Linux fondini moliyalashtiradi va shu tariqa Markaziy infratuzilma tashabbusi (CII) kabi loyihalarni moliyalashtiradi.

Bu ularga qarorlarni qabul qilish uchun turli xil kengashlarda o'tirishga imkon beradi va shu sababli ochiq manbali maydonda sodir bo'layotgan voqealarni biroz nazorat qiladi. OpenSUSE kengashining sobiq a'zosi Bryan Lunduke ushbu holatni batafsilroq muhokama qiladi.

Darhol natijasi shu moliyalashtirishdan foydalanadigan ochiq manbali loyihalar asosan ularning infratuzilmalari asos bo'lganlardir.

Nihoyat, agar siz bu haqda ko'proq bilishni xohlasangiz, siz to'plangan hisobotlarni topishingiz mumkin bo'lgan quyidagi veb-saytga murojaat qilishingiz mumkin.

Havola bu.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.