En los últimos años las empresas han ido en aumento el uso de código de fuente abierta para ayudar a construir aplicaciones más potentes más rápido.
componentes de código abierto reducir el tiempo de desarrollo de aplicaciones, proporcionando características de gran alcance que los desarrolladores no tienen que escribir en su propio, acelerar el despliegue de las nuevas versiones. Formando la columna vertebral de software de hoy, componentes de código abierto ahora comprenden entre 60-80% de las aplicaciones modernas.
Open Source bibliotecas y herramientas – un pasivo para la Seguridad
Los equipos de desarrollo pueden fácilmente tomar ventaja de las diferentes bibliotecas de código abierto y herramientas, que se actualizan y proporcionada por la comunidad de código abierto, tomándolos de los recursos populares como GitHub.
Junto con las ventajas claras para los desarrolladores, usando componentes de código abierto no está exenta de riesgos. Mantener sus productos de software seguro puede ser un desafío y requiere las herramientas adecuadas para hacer frente a las amenazas. En el caso de componentes de código abierto, en lugar de código propietario que está escrito en el local por una empresa, el riesgo principal para el uso de productos de software de código abierto son conocidos vulnerabilidades. Estas son las vulnerabilidades que se han publicado en línea y están disponibles para que cualquiera pueda ver y posiblemente utilizar para explotar las víctimas. El tema del uso de componentes con vulnerabilidades conocidas es probable que ya en su radar, haber ocupado un puesto en Top infame de OWASP 10 ya que 2013.
Como software de terceros, Los componentes de código abierto se pueden utilizar en miles de productos., y una vulnerabilidad encontrado en un solo componente puede tener un impacto en una amplia gama de aplicaciones. Porque los componentes de código abierto son mantenidos por la comunidad de código abierto, dependemos de ellos para alertar a las nuevas vulnerabilidades de seguridad cuando estos investigadores a encontrar.
Al tratar de evitar que otros segura, estos investigadores publican sus hallazgos en la que los componentes de código abierto son vulnerables y cómo realizar las hazañas de avisos de seguridad y bases de datos como la U.S. Vulnerability Database Nacional respaldada por el gobierno (NVD). Si bien esto puede ser útil para los equipos de seguridad vigilantes que pueden utilizar esta información para arreglar rápidamente sus aplicaciones, los hackers también están viendo aquí para inteligencia libre sobre qué objetivo y cómo.
El reto aquí es para mantenerse un paso por delante de los atacantes. Desafortunadamente, la gran mayoría de los equipos de desarrollo simplemente no son conscientes de la cantidad de sus productos se basan en componentes de código abierto, y no mantener un inventario adecuado de los cuales los que tienen en sus productos. Esto puede ser un problema importante, ya que pueden ser dirigidos a través de un componente vulnerable que ni siquiera sabían que estaban usando..
Esto es lo que ocurrió en el caso de Equifax en septiembre pasado, cuando la compañía fue traspasada a través de una versión vulnerable de Apache Struts 2 (CVE-2017-5638), que conduce al robo de 145.9 millón de registros de información de identificación personal, incluida la seguridad social y números de tarjetas de crédito. Según los informes, el ataque ocurrió dos meses después de la vulnerabilidad se divulgó, avergonzando a la empresa por no tomar las medidas necesarias para mantener sus datos seguros.
La automatización es crítico para la seguridad Componentes de fuente abierta
Debido en parte al rápido ritmo de desarrollo, y la fuerte dependencia de los componentes de código abierto con el programa o, seguimiento manual de componentes de código abierto no es simplemente una opción para las organizaciones que desean permanecer seguro.
La escalabilidad es clave, y soluciones automatizadas solamente ofrecen una respuesta para la forma de estar al tanto de todos los componentes de código abierto que entra en el entorno de desarrollo. Análisis de la composición única de software (SCA) herramientas son capaces de identificar componentes de código abierto y alertar a los equipos de seguridad a los riesgos.
Para implementar correctamente un proceso de seguridad de código abierto, especialmente en un modelo DevOps, equipos de seguridad y de desarrollo deben trabajar juntos para atrapar problemas en forma temprana, la adopción de un enfoque de desplazamiento a la izquierda. Cuando integran una herramienta de SCA en su servidor CI / CD, las herramientas pueden identificar los componentes vulnerables antes de que lo hacen en la construcción, la prevención de las operaciones más costosas más tarde, cuando los desarrolladores tendrían que romper y reemplazar el componente vulnerable ante una liberación.
Al mismo tiempo, es esencial desplazamiento a la derecha con las alertas cuando se descubren nuevas vulnerabilidades, ofrece a los equipos de seguridad de la advertencia que necesitan para reparar rápidamente sus productos antes de que los piratas informáticos intentan hacer su incumplimiento.
Mediante la implementación de un proceso continuo, herramienta SCA automatizado, las organizaciones pueden cumplir las políticas a través de su desarrollo y productos, mitigar significativamente los riesgos para las vulnerabilidades conocidas en su uso componente de código abierto.
Sobre el Autor: Zev Brodsky
Por día, Zev es el Community Manager en código abierto líder de gestión de la seguridad WhiteSource. Por la noche, él es un entusiasta del taco, tan-tan jugador de damas, y coleccionista de sellos raros.
