In de afgelopen jaren bedrijven zijn het verhogen van hun gebruik van open source code om hen te helpen bouwen meer krachtige applicaties sneller.
Open source componenten gekapt applicatie-ontwikkeling tijd door het verstrekken van krachtige functies die ontwikkelaars niet op hun eigen te schrijven, versnellen implementatie van nieuwe releases. Het vormen van de ruggengraat van de huidige software, open source componenten omvatten nu tussen 60-80% van de moderne toepassingen.
Open source libraries and Tools – een verplichting aan veiligheid
Development teams kunnen eenvoudig gebruik maken van de verschillende open source libraries en gereedschappen, die worden bijgewerkt en door de open source gemeenschap, het nemen van hen van populaire bronnen zoals GitHub.
Samen met de duidelijke voordelen voor ontwikkelaars, open source componenten is niet zonder risico. Het houden van uw software producten veilig kan een uitdaging zijn en vereisen de juiste tools om de bedreigingen aan te pakken. Bij open source componenten, in tegenstelling tot proprietary code die in-house is geschreven door een bedrijf, de belangrijkste risico voor de producten met behulp van open source software zijn bekende kwetsbaarheden. Dit zijn kwetsbaarheden die online zijn gepubliceerd en zijn beschikbaar voor iedereen te bekijken en eventueel te gebruiken om slachtoffers te exploiteren. De kwestie van het gebruik van componenten met bekende kwetsbaarheden is waarschijnlijk al op je radar, een plek op beruchte Top OWASP's te hebben gevoerd 10 sinds 2013.
Als software van derden, open-source componenten kunnen in duizenden producten worden gebruikt, en kwetsbaarheid in een enkele component kunnen gevolgen hebben voor uiteenlopende toepassingen. Omdat open source componenten worden onderhouden door de open source communitysource, we van hen afhankelijk zijn om ons te waarschuwen voor nieuwe kwetsbaarheden wanneer deze security onderzoekers ze te vinden.
Bij het streven naar anderen veilig te houden, deze onderzoekers zal na hun bevindingen op die open source componenten zijn kwetsbaar en hoe u de exploits uit te voeren om beveiligingswaarschuwingen en databases zoals het U.S. De overheid gesteunde National Vulnerability Database (NVD). Hoewel dit nuttig is voor waakzaam security teams die deze informatie kunnen gebruiken om hun applicaties snel patchen kan zijn, hackers zijn ook kijken hier gratis intelligence over wat te richten en hoe.
De uitdaging is hier te blijven een stap vooruit van de aanvallers. Helaas, de overgrote meerderheid van de ontwikkeling teams zijn gewoon niet bewust van hoeveel hun producten vertrouwen op open source componenten, en bewaar niet een goede inventarisatie van welke ze hebben in hun producten. Dit kan een groot probleem zijn, omdat ze kunnen worden aangevallen via een kwetsbaar onderdeel waarvan ze niet eens wisten dat ze het gebruikten.
Dit is wat er gebeurd is in het geval Equifax in september vorig jaar toen het bedrijf werd geschonden door een kwetsbare versie van Apache Struts 2 (CVE-2017-5638), wat leidt tot de diefstal van 145.9 miljoen persoonlijk identificeerbare informatie-records, waaronder sociale zekerheid en credit card nummers. Volgens rapporten, de aanval gebeurde twee maanden nadat het probleem is beschreven, gênant het bedrijf niet de nodige stappen te ondernemen om hun gegevens te beveiligen.
Automatisering is cruciaal voor het beveiligen van open source componenten
Mede als gevolg van het snelle tempo van de ontwikkeling, en de sterke afhankelijkheid van open source componenten op schema te blijven, handmatig bijhouden van open source componenten is gewoon geen optie voor organisaties die willen veilig blijven.
Schaalbaarheid is de sleutel, en slechts geautomatiseerde oplossingen bieden een antwoord op hoe op de hoogte blijven van alle open source component die de ontwikkelomgeving binnenkomt. Alleen Software Composition Analysis (SCA) gereedschappen zijn in staat om het identificeren van open source componenten en alarmering security teams om risico's.
Om een open-source beveiligingsproces correct te implementeren, vooral in een model DevOps, veiligheid en ontwikkeling teams moeten samenwerken om problemen vroeg op te vangen, vaststelling van een verschuiving naar links aanpak. Toen zij de integratie van een SCA gereedschap in hun CI / CD-server, gereedschappen kunnen kwetsbare onderdelen identificeren voordat ze maken het in de bouw, het voorkomen van duurdere operaties later, toen de ontwikkelaars zouden moeten scheuren en vervang het kwetsbare onderdeel voor een versie.
Tegelijkertijd, is het essentieel om rechts verschuiven ontvangen wanneer nieuwe kwetsbaarheden worden ontdekt, het geven van zekerheid teams de waarschuwing die ze nodig hebben om snel te patchen van hun producten voor de hackers proberen om hun strijd te maken.
Door de implementatie van een continue, SCA geautomatiseerd instrument, organisaties kunnen beleidsmaatregelen in hun ontwikkeling en producten af te dwingen, aanzienlijk verminderen van de risico's voor de bekende kwetsbaarheden in hun open source component gebruik.
Over de auteur: Zev Brodsky
Bij dag, Zev is de Community Manager bij open source security management leider WhiteSource. S'avonds, hij is een taco liefhebber, zo-zo checkers speler, en verzamelaar van zeldzame zegels.
