เนื้อหา
- โอเพ่นซอร์สทุกที่
- ช่องโหว่ที่มาเปิด: ผลลัพธ์อยู่ใน
- อะไรคือความอ่อนแอที่สุดของพวกเขา?
- ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
- Wild West ของช่องโหว่โอเพ่นซอร์ส
- ชุมชนโอเพ่นซอร์สอยู่ในอันดับต้น ๆ ของการรักษาความปลอดภัย - ตอนนี้ผู้ใช้จำเป็นต้องตามทัน
- วิธีรับล่วงหน้าใน Open Source Security
Takeaway:
องค์ประกอบของโอเพ่นซอร์สเป็นวิธีที่ยอดเยี่ยมในการสร้างซอฟต์แวร์ แต่ช่องโหว่ภายในอาจเป็นอันตรายต่อองค์กรของคุณทั้งหมด ทราบถึงความเสี่ยงและติดตามข่าวสารเกี่ยวกับโซลูชั่นความปลอดภัยโอเพนซอร์ซเพื่อปกป้องตนเองและธุรกิจของคุณ
ในขณะที่ทีมพัฒนากำลังแข่งขันกันเพื่อให้ทันกับการแข่งขันด้านการผลิตซอฟต์แวร์ส่วนประกอบโอเพ่นซอร์สได้กลายเป็นส่วนสำคัญของกล่องเครื่องมือของนักพัฒนาซอฟต์แวร์ทุกคนช่วยให้พวกเขาสร้างและส่งมอบผลิตภัณฑ์นวัตกรรมที่ความเร็วของ DevOps
การเพิ่มขึ้นอย่างต่อเนื่องของการใช้งานโอเพ่นซอร์สพร้อมกับการละเมิดข้อมูลพาดหัวเช่นช่องโหว่ Equifax ที่ใช้ช่องโหว่ในองค์ประกอบโอเพ่นซอร์สในที่สุดอาจมีองค์กรพร้อมที่จะจัดการความปลอดภัยโอเพ่นซอร์สและจัดการช่องโหว่ Wild West ของโอเพ่นซอร์ส คำถามคือว่าพวกเขารู้ว่าจะเริ่มต้นอย่างไร (หากต้องการเรียนรู้เพิ่มเติมดูเชิงคุณภาพเทียบกับปริมาณ: เวลาเปลี่ยนวิธีที่เราประเมินความรุนแรงของช่องโหว่ของบุคคลที่สาม)
โอเพ่นซอร์สทุกที่
WhiteSource เพิ่งเผยแพร่รายงานสถานะการจัดการช่องโหว่ของโอเพ่นซอร์สเพื่อให้ข้อมูลเชิงลึกเพื่อช่วยให้องค์กรเข้าใจวิธีการรักษาความปลอดภัยของโอเพ่นซอร์สได้ดียิ่งขึ้น ตามรายงานซึ่งรวมถึงผลการสำรวจการใช้งานโอเพ่นซอร์สที่ดำเนินการในหมู่นักพัฒนา 650 คนจากสหรัฐอเมริกาและยุโรปตะวันตก 87.4 เปอร์เซ็นต์ของนักพัฒนานั้นพึ่งพานักพัฒนาซอฟต์แวร์โอเพนซอร์สบ่อยมากหรือบ่อยครั้ง ” อีก 9.4 เปอร์เซ็นต์ตอบว่าพวกเขา“ บางครั้ง” ใช้ส่วนประกอบโอเพ่นซอร์ส สิ่งที่โดดเด่นคือมีเพียง 3.2% ของผู้เข้าร่วมตอบว่าพวกเขาไม่เคยใช้โอเพ่นซอร์สซึ่งน่าจะเป็นผลมาจากนโยบายของ บริษัท
ตัวเลขเหล่านี้พิสูจน์ได้อย่างชัดเจนโดยไม่ต้องสงสัยเลยว่านักพัฒนาซอฟต์แวร์ที่ทำงานในโครงการซอฟต์แวร์น่าจะใช้ประโยชน์จากส่วนประกอบโอเพ่นซอร์สมากที่สุด
ช่องโหว่ที่มาเปิด: ผลลัพธ์อยู่ใน
รายงานดังกล่าวยังเจาะลึกลงในฐานข้อมูลโอเพ่นซอร์ส WhiteSource ซึ่งรวบรวมจาก National Vulnerability Database (NVD) คำแนะนำด้านความปลอดภัยฐานข้อมูลช่องโหว่แบบ peer-reviewed และตัวติดตามปัญหา open source ที่เป็นที่นิยมเพื่อเรียนรู้เกี่ยวกับช่องโหว่โอเพ่นซอร์สที่ทีมพัฒนาต้องการ เพื่อรับมือกับ.
ผลการศึกษาพบว่าจำนวนช่องโหว่ของโอเพ่นซอร์สที่เป็นที่รู้จักนั้นมีจำนวนสูงที่สุดในปี 2017 โดยมีช่องโหว่เกือบ 3,500 จุด นั่นคือการเพิ่มขึ้นมากกว่า 60% ในจำนวนช่องโหว่ที่เปิดเผยเมื่อเปรียบเทียบกับปี 2559 และแนวโน้มไม่มีสัญญาณว่าจะชะลอตัวในปี 2561
อะไรคือความอ่อนแอที่สุดของพวกเขา?
การวิจัยยังเจาะลึกลงในฐานข้อมูลเพื่อค้นหาโครงการโอเพนซอร์ซที่มีความเสี่ยงมากที่สุดและเกิดผลลัพธ์ที่น่าประหลาดใจ ในขณะที่ 7.5 เปอร์เซ็นต์ของโครงการโอเพนซอร์ซทั้งหมดมีช่องโหว่ แต่ 32 เปอร์เซ็นต์ของโครงการโอเพนซอร์ซที่ได้รับความนิยมสูงสุด 100 เปอร์เซ็นต์มีช่องโหว่อย่างน้อยหนึ่งช่องโหว่
ในขณะที่ช่องโหว่เดียวนั้นเพียงพอที่จะทำให้ห้องสมุดหลายแห่งตกอยู่ในความเสี่ยงโครงการโอเพนซอร์ซที่มีช่องโหว่จะมีช่องโหว่โดยเฉลี่ยแปดช่องโหว่ นั่นหมายความว่าโครงการโอเพ่นซอร์สที่ได้รับความนิยมส่วนใหญ่มักเป็นโครงการที่มีช่องโหว่สูง
ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์
ข้อมูลเชิงลึกนี้จะชัดเจนยิ่งขึ้นเมื่อเราดูรายการโครงการโอเพนซอร์ส 10 อันดับแรกที่มีช่องโหว่จำนวนโอเพนซอร์สสูงสุด รายการ 10 อันดับแรกมีโครงการโอเพนซอร์ซยอดนิยมที่พวกเราหลายคนใช้
โครงการเหล่านี้มีมากกว่าหนึ่งสิ่งที่เหมือนกัน: ส่วนใหญ่เป็นอินเทอร์เน็ตหันหน้าไปทางส่วนประกอบส่วนหน้าที่มีพื้นผิวการโจมตีที่กว้างที่มีการเปิดเผยมากทำให้พวกเขาค่อนข้างง่ายต่อการใช้ประโยชน์ นั่นคือเหตุผลที่พวกเขาดึงดูดความสนใจของชุมชนการวิจัยความปลอดภัยโอเพนซอร์ซจำนวนมาก
อีกแง่มุมที่หลาย ๆ โครงการเหล่านี้มีร่วมกันนั้นส่วนใหญ่ได้รับการสนับสนุนจาก บริษัท เชิงพาณิชย์ เมื่อพิจารณาถึงสเตคและทรัพยากรที่อยู่เบื้องหลังพวกเขาอาจถามว่า: โครงการที่ได้รับการสนับสนุนจากผู้เล่นรายใหญ่เช่นนี้จะมีจุดอ่อนอย่างไร?
Wild West ของช่องโหว่โอเพ่นซอร์ส
ในอดีตการค้นพบช่องโหว่ของโอเพ่นซอร์สจะกระตุ้นให้เกิดการถกเถียงอย่างมีชีวิตชีวาว่าองค์ประกอบโอเพ่นซอร์สนั้นได้รับการดูแลรักษาอย่างดีพอที่จะปลอดภัยหรือไม่ อย่างมีความสุขวันเหล่านั้นสิ้นสุดลงและในวันนี้เรารู้ว่าการเพิ่มขึ้นของช่องโหว่โอเพนซอร์สนั้นแสดงให้เห็นว่าชุมชนโอเพนซอร์ซและชุมชนด้านความปลอดภัยนั้นมีการตอบสนองอย่างรวดเร็วเพียงใด
การเติบโตแบบทวีคูณของชุมชนโอเพ่นซอร์สพร้อมกับการค้นพบช่วงปลายของช่องโหว่โอเพนซอร์ซที่มีชื่อเสียงในองค์ประกอบที่ได้รับความนิยมอย่างสูงเช่นที่อนุญาตให้ Heartbleed เติบโตได้ทำให้ตระหนักถึงความปลอดภัยโอเพ่นซอร์สมากขึ้น โครงการสำหรับช่องโหว่เช่นเดียวกับการตอบสนองอย่างรวดเร็วสำหรับการแก้ไข
ในความเป็นจริงรายงาน WhiteSource พบว่าร้อยละ 97 ของช่องโหว่ที่รายงานทั้งหมดมีการแก้ไขที่แนะนำอย่างน้อยหนึ่งรายการในชุมชนโอเพนซอร์ซโดยมีการอัปเดตด้านความปลอดภัยโดยทั่วไปจะเผยแพร่ภายในไม่กี่วัน (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโอเพ่นซอร์สให้ตรวจสอบโอเพนซอร์ซ: มันดีเกินกว่าจะเป็นจริงหรือไม่?)
ชุมชนโอเพ่นซอร์สอยู่ในอันดับต้น ๆ ของการรักษาความปลอดภัย - ตอนนี้ผู้ใช้จำเป็นต้องตามทัน
ในขณะที่การทำงานร่วมกันของชุมชนโอเพ่นซอร์สและความพยายามในการปรับปรุงการรักษาความปลอดภัยโอเพ่นซอร์สนั้นแสดงผลในแง่ของการค้นพบช่องโหว่การเปิดเผยและการแก้ไขอย่างรวดเร็ว แต่ก็ยากสำหรับผู้ใช้ในการติดตามเนื่องจากลักษณะการกระจายอำนาจของชุมชนโอเพ่นซอร์ส
เมื่อนักพัฒนาใช้ส่วนประกอบซอฟต์แวร์เชิงพาณิชย์การอัปเดตเวอร์ชันเป็นส่วนหนึ่งของบริการที่พวกเขาจ่ายเงินและผู้ขายสามารถเร่งเร้าให้มากเพื่อให้แน่ใจว่าคุณจะเห็นมัน
นั่นไม่ใช่วิธีการทำงานของโอเพนซอร์ส ข้อมูล WhiteSource ที่แสดงให้เห็นว่ามีเพียง 86 เปอร์เซ็นต์ของช่องโหว่โอเพนซอร์ซที่รายงานปรากฏในฐานข้อมูล CVE นี่เป็นเพราะลักษณะการทำงานร่วมกันและการกระจายอำนาจของชุมชนโอเพ่นซอร์สหมายความว่าข้อมูลและการปรับปรุงเกี่ยวกับช่องโหว่ของโอเพ่นซอร์สถูกเผยแพร่ไปทั่วทรัพยากรนับร้อย ข้อมูลประเภทนั้นเป็นไปไม่ได้ที่จะติดตามด้วยตนเองโดยเฉพาะอย่างยิ่งเมื่อเราพิจารณาปริมาณการใช้โอเพ่นซอร์ส
วิธีรับล่วงหน้าใน Open Source Security
การเพิ่มขึ้นอย่างต่อเนื่องในช่องโหว่ของโอเพ่นซอร์สนั้นเป็นความท้าทายที่องค์กรต้องดำเนินการอย่างมุ่งมั่นโดยพิจารณาว่าการใช้งานโอเพ่นซอร์สทั่วไปเป็นอย่างไร ในขณะที่จำนวนช่องโหว่โอเพ่นซอร์สจำนวนมากรวมถึงโครงการที่ได้รับความนิยมสูงสุดอาจดูล้นหลามการเรียนรู้วิธีที่ชุมชนจัดการความปลอดภัยของโอเพ่นซอร์สนั้นเป็นขั้นตอนในทิศทางที่ถูกต้อง
ขั้นตอนต่อไปคือการยอมรับว่าการจัดการความปลอดภัยแบบโอเพ่นซอร์สนั้นมาพร้อมกับชุดของกฎเครื่องมือและการปฏิบัติที่แตกต่างจากการรักษาความปลอดภัยส่วนประกอบเชิงพาณิชย์หรือกรรมสิทธิ์ การผสานกับโปรแกรมและเครื่องมือการจัดการช่องโหว่เดียวกันจะไม่ช่วยในการจัดการความปลอดภัยแบบโอเพ่นซอร์ส
การใช้นโยบายความปลอดภัยโอเพนซอร์ซที่เน้นความแตกต่างเหล่านี้และการผสมผสานเทคโนโลยีที่เหมาะสมในการจัดการอัตโนมัติจะช่วยให้ทีมรักษาความปลอดภัยและการพัฒนาต้องเผชิญกับความท้าทายที่ไม่เหมือนใครของช่องโหว่โอเพ่นซอร์ส