Accueil > Nouvelles Cyber > La sécurité dans les logiciels open source n'est pas automatique – mais il devrait être
CYBER NOUVELLES

Sécurité dans le logiciel Open Source est pas automatique – mais il devrait être

Au cours des dernières années, les entreprises ont augmenté leur utilisation de code open source pour les aider à créer des applications plus puissantes rapide.




composants Open Source réduire le temps de développement d'applications en fournissant des fonctionnalités puissantes que les développeurs ne doivent pas écrire sur leur propre, accélérer le déploiement de nouvelles versions. Formant l'épine dorsale du logiciel d'aujourd'hui, composants open source comprennent maintenant entre 60-80% des applications modernes.

Ouvrez les bibliothèques et outils Source – une responsabilité à la sécurité

Les équipes de développement peuvent facilement tirer profit des différentes bibliothèques open source et des outils, qui sont mis à jour et fournis par la communauté open source, les prendre à partir de ressources populaires comme GitHub.

En plus des avantages évidents pour les développeurs, en utilisant des composants Open Source est pas sans risque. Garder vos produits logiciels sécurisés peut être un défi et exiger que les outils nécessaires pour faire face aux menaces. Dans le cas des composants open source, par opposition au code propriétaire qui est écrit en interne par une entreprise, le principal risque pour les produits en utilisant des logiciels libres sont connus vulnérabilités. Ce sont des vulnérabilités qui ont été publiées en ligne et sont disponibles pour quiconque de voir et peut-être utiliser pour exploiter les victimes. La question de l'utilisation de composants avec des vulnérabilités connues est probablement déjà sur votre radar, ayant tenu une place sur le dessus tristement célèbre OWASP 10 depuis 2013.

histoire connexes: la magie, l'Open Source Ransomware qui ont émergé de GitHub

En tant que logiciel tiers, les composants open source peuvent être utilisés dans des milliers de produits, et une vulnérabilité trouve dans un seul composant peut avoir un impact sur un large éventail d'applications. Parce que les composants open source sont maintenus par la communauté open source, nous dépendons d'eux pour nous avertir de nouvelles vulnérabilités lorsque ces chercheurs en sécurité à trouver.

En cherchant à garder les autres en sécurité, ces chercheurs afficherons leurs conclusions sur les composants open source sont vulnérables et comment effectuer les exploits aux avis de sécurité et des bases de données comme les Americains. gouvernement soutenu par National Vulnerability Database (NVD). Même si cela peut être utile pour les équipes de sécurité vigilants qui peuvent utiliser ces informations pour patcher rapidement leurs applications, les pirates regardent aussi ici pour l'intelligence libre sur ce qu'il faut cibler et comment.




Le défi ici est de rester une longueur d'avance sur les attaquants. Malheureusement, la grande majorité des équipes de développement sont tout simplement pas au courant de la quantité de leurs produits reposent sur des composants open source, et ne tiennent pas un inventaire approprié dont ceux qu'ils ont dans leurs produits. Cela peut être un problème important car ils peuvent être ciblés par le biais d'un élément vulnérable qu'ils ne savaient même pas qu'ils utilisaient.

Ce qui est arrivé dans le cas Equifax Septembre dernier lorsque la société a été violé par une version vulnérable d'Apache Struts 2 (CVE-2017-5638), menant au vol de 145.9 millions d'enregistrements de données personnelles identifiables, y compris la sécurité sociale et numéros de carte de crédit. Selon les rapports, l'attaque a eu lieu deux mois après la vulnérabilité a été divulguée, embarrasser la société pour ne pas prendre les mesures nécessaires pour garder leurs données en toute sécurité.

L'automatisation est critique pour les composants Open Source Sécurisation

En partie à cause du rythme rapide du développement, et la forte dépendance sur des composants open source pour rester dans les délais prévus, suivi manuel des composants open source est tout simplement pas une option pour les organisations qui veulent rester en sécurité.

Évolutivité est la clé, et que des solutions automatisées offrent une réponse à la façon de rester au-dessus de tous les composants open source qui pénètre dans l'environnement de développement. Analyse de la composition du logiciel uniquement (SCA) les outils sont capables d'identifier les composants open source et alerter les équipes de sécurité aux risques.

Afin de mettre en œuvre correctement un processus de sécurité open source, en particulier dans un modèle DevOps, les équipes de sécurité et de développement doivent travailler ensemble pour attraper rapidement les problèmes, l'adoption d'un décalage vers la gauche approche. Quand ils intègrent un outil SCA dans leur serveur CI / CD, les outils peuvent identifier les composants vulnérables avant de faire dans la construction, empêcher des opérations plus coûteuses plus tard, quand les développeurs devraient déchirer et remplacer le composant vulnérable avant une libération.

À la fois, il est essentiel de passer à droite des alertes lorsque de nouvelles vulnérabilités sont découvertes, donnant aux équipes de sécurité l'avertissement dont ils ont besoin de patcher rapidement leurs produits avant que les pirates tentent de faire leur violation.
En mettant en œuvre un processus continu, Outil de SCA automatisé, les organisations peuvent appliquer des politiques à travers leur développement et produits, atténuer considérablement les risques pour les vulnérabilités connues dans leur utilisation de composants open source.

histoire connexes: 143 Millions de numéros de sécurité sociale volés par Equifax Hack

A propos de l'auteur: Zev Brodsky

De jour, Zev est le Community Manager au chef de file de la gestion de la sécurité open source WhiteSource. De nuit, il est un passionné taco, couci-couça joueur de dames, et le collecteur de timbres rares.

SensorsTechForum Auteurs invités

Les opinions exprimées dans ces messages d'invités sont entièrement celles de l'auteur contributeur, et peuvent ne pas refléter celles de SensorsTechForum.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord