Zuhause > Cyber ​​Aktuelles > Sicherheit in Open-Source-Software ist nicht automatisch – aber es sollte
CYBER NEWS

Sicherheit in der Open-Source-Software ist nicht automatisch – aber es sollte

In den letzten Jahren wurden zunehmende Unternehmen, ihre Verwendung von Open-Source-Code zu helfen, sie zu bauen leistungsstärkere Anwendungen schneller.




Open-Source-Komponenten Anwendungsentwicklungszeit verkürzen durch leistungsstarke Funktionen bereitstellt, die Entwickler haben auf ihre eigenen nicht schreiben, Beschleunigung der Einführung neuer Versionen. Bilden das Rückgrat der heutigen Software, Open-Source-Komponenten umfassen nun zwischen 60-80% moderner Anwendungen.

Open-Source-Bibliotheken und Werkzeuge – eine Haftung auf Sicherheit

Entwicklungsteams können leicht die Vorteile der verschiedenen Open-Source-Bibliotheken nehmen und Werkzeuge, die aktualisiert und von der Open Source Community zur Verfügung gestellt, sie von beliebten Ressourcen wie GitHub unter.

Zusammen mit den klaren Vorteilen für Entwickler, mit Open-Source-Komponenten ist nicht ohne Risiko. Halten Sie Ihre Software-Produkte sicher kann eine Herausforderung sein und die richtigen Werkzeuge erfordern, um die Bedrohungen zu begegnen. Im Fall von Open-Source-Komponenten, wie zu proprietären Code gegen die von einem Unternehmen in-house geschrieben, das primäre Risiko für Produkte Open-Source-Software-Schwachstellen sind bekannt. Dies sind Schwachstellen, die im Internet veröffentlicht wurden, und sind für jedermann zu sehen und möglicherweise verwenden Opfer auszunutzen. Die Frage der Komponenten mit bekannten Schwachstellen verwenden, ist wahrscheinlich bereits auf dem Radar, einen Punkt auf OWASP berüchtigten Top innehatte 10 schon seit 2013.

ähnliche Geschichte: Magie, die Open-Source-Ransomware, die von GitHub Entstand

Als Software von Drittanbietern, Open-Source-Komponenten können in Tausenden von Produkten verwendet werden, und eine Schwachstelle in einer einzigen Komponente gefunden können einen Einfluss auf eine breite Palette von Anwendungen. Weil Open-Source-Komponenten von der Open-Source-Community gepflegt werden, wir hängen von ihnen uns auf neue Schwachstellen zu warnen, wenn diese Sicherheitsforscher sie finden.

Bei der Suche nach anderen zu halten sichere, diese Forscher ihre Erkenntnisse auf dem Open-Source-Komponenten anfällig sind und wie poste die Exploits Sicherheitslücken und Datenbanken, wie die US-ausführen. Regierung unterstützten National Vulnerability Database (NVD). Während dies für wachsam Sicherheitsteams nützlich sein, die diese Informationen schnell nutzen können, um ihre Anwendungen patchen, Hacker beobachtet hier auch kostenlos Intelligenz auf, was für zielen und wie.




Die Herausforderung dabei ist, in einen Schritt vor den Angreifern zu bleiben. Leider, die überwiegende Mehrheit der Entwicklungsteams sind einfach nicht bewusst, wie viel ihre Produkte setzen auf Open-Source-Komponenten, und nicht hält ein richtiges Inventar von denen, die sie in ihren Produkten haben. Dies kann ein erhebliches Problem sein, da sie durch eine anfällige Komponente angegriffen werden können, von der sie nicht einmal wussten, dass sie sie verwenden.

Dies ist, was in dem Equifax Fall im September letzten Jahr passierte, wenn das Unternehmen durch eine anfällige Version von Apache Struts wurde verletzt 2 (CVE-2017-5638), was zu dem Diebstahl von 145.9 Millionen personenbezogene Daten Aufzeichnungen, einschließlich der sozialen Sicherheit und Kreditkartennummern. Berichten zufolge, der Angriff ereignete sich zwei Monate nach der Verwundbarkeit offenbart wurde, in Verlegenheit zu bringen, das Unternehmen für sie nicht die erforderlichen Maßnahmen zu ergreifen, um ihre Daten sicher zu halten.

Automation ist entscheidend für die Sicherung Open Source-Komponenten

Durch teilweise die Entwicklung der Schnelllebigkeit, und starke Abhängigkeit von Open-Source-Komponenten im Zeitplan zu bleiben, manuelle Verfolgung von Open-Source-Komponenten ist einfach keine Option für Unternehmen, die sicher bleiben wollen.

Skalierbarkeit ist der Schlüssel, und nur automatisierte Lösungen bieten eine Antwort, wie oben auf jeder Open-Source-Komponente zu bleiben, die die Entwicklungsumgebung betritt. Nur Software Zusammensetzung Analyse (SCA) Werkzeuge sind in der Lage Open-Source-Komponenten zu identifizieren und Alarmierung Sicherheitsteams Risiken.

Um einen Open-Source-Sicherheitsprozess richtig zu implementieren, vor allem in einem DevOps-Modell, Teams Sicherheit und Entwicklung müssen zusammenarbeiten, Probleme zu fangen früh, Annahme einer Verschiebung nach links Ansatz. Wenn sie integrieren ein SCA-Tool in ihren CI / CD-Server, die Werkzeuge können anfällige Komponenten identifizieren, bevor sie es in die Build machen, Verhindern später teurer Operationen, wenn Entwickler reißen müßten und die gefährdete Komponente vor einem Release ersetzen.

Gleichzeitig, es ist wichtig, richtig mit Warnungen zu verschieben, wenn neue Schwachstellen entdeckt werden, geben Sicherheitsteams die Warnung müssen sie ihre Produkte schnell, bevor der Hacker ihre Verletzung versuchen flicken zu machen.
Durch eine kontinuierliche Umsetzung, automatisiertes SCA-Tool, Organisationen können Richtlinien für ihre Entwicklung und Produkte durchzusetzen, die Risiken für die bekannten Schwachstellen in ihrer Open-Source-Komponente Nutzung deutlich mildern.

ähnliche Geschichte: 143 Millionen Sozialversicherungsnummern gestohlen über Equifax Hack

Über den Autor: Zev Brodsky

tags, Zev ist die Community Manager bei Open-Source-Security-Management-Führer WhiteSource. Bei Nacht, er ist ein Taco-Enthusiasten, so lala Kontrolleurspieler, und Sammler von seltenen Briefmarken.

SensorsTechForum Guest Autoren

Die in diesen Gastbeiträgen geäußerten Meinungen sind ausschließlich die der beitragenden Autoren, und nicht über die in der SensorsTechForum reflektieren.

Mehr Beiträge

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau