過去数年間、企業はより強力なアプリケーションをより迅速に構築できるように、オープンソースコードの使用を増やしてきました。.
オープンソースコンポーネントは、開発者が自分で作成する必要のない強力な機能を提供することにより、アプリケーション開発時間を短縮します, 新しいリリースの展開をスピードアップ. 今日のソフトウェアのバックボーンを形成する, オープンソースコンポーネントは現在、 60-80% 最新のアプリケーションの.
オープンソースのライブラリとツール – セキュリティに対する責任
開発チームは、さまざまなオープンソースライブラリとツールを簡単に利用できます, オープンソースコミュニティによって更新および提供されます, GitHubのような人気のあるリソースからそれらを取得します.
開発者にとっての明らかな利点とともに, オープンソースコンポーネントの使用 リスクがないわけではありません. ソフトウェア製品を安全に保つことは困難な場合があり、脅威に対処するための適切なツールが必要です. オープンソースコンポーネントの場合, 会社が社内で作成した独自のコードとは対照的に, オープンソースソフトウェアを使用する製品の主なリスクは、既知の脆弱性です. これらはオンラインで公開された脆弱性であり、誰でも閲覧でき、被害者を悪用するために使用できる可能性があります. 既知の脆弱性を持つコンポーネントの使用の問題は、おそらくすでにあなたのレーダーにあります, OWASPの悪名高いトップにスポットを当てた 10 以来 2013.
サードパーティソフトウェアとして, オープンソースコンポーネントは、何千もの製品で使用できます, 単一のコンポーネントに見られる脆弱性は、さまざまなアプリケーションに影響を与える可能性があります. オープンソースコンポーネントはオープンソースコミュニティによって維持されているため, これらのセキュリティ研究者が新しい脆弱性を見つけた場合、私たちはそれらに依存して新しい脆弱性を警告します.
他の人を安全に保つために, これらの研究者は、どのオープンソースコンポーネントが脆弱であるか、およびエクスプロイトを実行する方法に関する調査結果を、米国のようなセキュリティアドバイザリやデータベースに投稿します。. 政府が支援する国家脆弱性データベース (NVD). これは、この情報を使用してアプリケーションにすばやくパッチを適用できる警戒するセキュリティチームにとっては便利です。, ハッカーはまた、何をどのように標的にするかについての無料のインテリジェンスをここで監視しています.
ここでの課題は、攻撃者の一歩先を行くことです。. 不運にも, 開発チームの大多数は、自社の製品がオープンソースコンポーネントにどれだけ依存しているかを単に認識していません。, そして、彼らが彼らの製品に持っているものの適切な在庫を保持していません. 使用していることすら知らなかった脆弱なコンポーネントをターゲットにすることができるため、これは重大な問題になる可能性があります.
これは、昨年9月にEquifaxのケースで、脆弱なバージョンのApacheStrutsによって会社が侵害されたときに起こったことです。 2 (CVE-2017-5638), の盗難につながる 145.9 百万の個人を特定できる情報記録, 社会保障番号とクレジットカード番号を含む. 報告によると, 脆弱性が公開されてから2か月後に攻撃が発生しました, データを安全に保つために必要な措置を講じなかったことで会社を当惑させる.
オープンソースコンポーネントを保護するには自動化が重要です
開発のペースが速いことも一因です, スケジュールを守るためにオープンソースコンポーネントに大きく依存している, オープンソースコンポーネントを手動で追跡することは、安全を確保したい組織にとっては単なる選択肢ではありません。.
スケーラビリティが重要, そして、自動化されたソリューションだけが、開発環境に入るすべてのオープンソースコンポーネントを常に把握する方法についての答えを提供します. ソフトウェア構成分析のみ (SCA) ツールは、オープンソースコンポーネントを識別し、セキュリティチームにリスクを警告することができます.
オープンソースのセキュリティプロセスを適切に実装するため, 特にDevOpsモデルでは, セキュリティチームと開発チームは、問題を早期に発見するために協力する必要があります, 左シフトアプローチの採用. SCAツールをCI/CDサーバーに統合する場合, ツールは、ビルドに組み込まれる前に脆弱なコンポーネントを識別できます, 後で開発者がリリース前に脆弱なコンポーネントを切り離して交換する必要がある場合に、より高価な操作を防止します.
同時に, 新しい脆弱性が発見された場合は、アラートを右にシフトすることが不可欠です, ハッカーが侵害を試みる前に、製品に迅速にパッチを適用する必要があることをセキュリティチームに警告します。.
継続的に実装することにより, 自動化されたSCAツール, 組織は、開発と製品全体にポリシーを適用できます, オープンソースコンポーネントの使用における既知の脆弱性へのリスクを大幅に軽減.
著者について: Zev Brodsky
日ごとに, Zevは、オープンソースのセキュリティ管理リーダーであるWhiteSourceのコミュニティマネージャーです。. 夜, 彼はタコス愛好家です, まあまあチェッカープレーヤー, と珍しい切手のコレクター.