Изследователите откриват, че приложенията за търговско банкиране съдържат рояци грешки с отворен код

Проектите с отворен код отдавна се оказаха благоприятни за разработчиците на софтуер като цяло, но нови изследвания показват, че използването им може да компрометира сигурността на приложенията.

Според изследователи от Black Duck Software, във фирмата 2017 Сигурност с отворен код и анализ на риска (OSSRA), съществуват „значителни междуиндустриални рискове“ при използването на софтуер с отворен код. А именно, уязвимостите, открити в такъв софтуер и компоненти, не се адресират, както трябва.

Базираната в Бърлингтън, Масачузетс фирма казва, че поради слаби практики за сигурност, това също представлява предизвикателство за съответствие - и резултатите от одитния доклад трябва да бъдат "призив за събуждане". разработчици.

Новото изследване включва одити на над 1000 приложения, често използвани от предприятието през 2016 г. Общо 96 процента от приложенията включват компоненти с отворен код, а над 60 процента от приложенията съдържат уязвимости в сигурността с отворен код - някои от които са на повече от четири години.

Софтуерът и компонентите с отворен код са ценни за средния разработчик, тъй като могат да намалят разходите за разработка, да ускорят пускането на продуктите на пазара и да стимулират иновациите.

Тези проекти обаче разчитат на общности от разработчици, които използват своите таланти безплатно и понякога грешките могат да бъдат пропуснати.

Ако компонент с отворен код, съдържащ уязвимост, след това си проправи път към трета страна продукти, това от своя страна увеличава потенциалните вектори на атака и излагането, което може да компрометира приложения и софтуер.

Когато се открият грешки, като Heartbleed -- използваема уязвимост в компонент на OpenSSL -- доставчиците са отговорни за отстраняването на тези проблеми, но докладът предполага, че много компании имат липса на видимост към собствените си приложения и доколко разчитат на отворен код компоненти.

Една от най-опасните последици от небрежните практики може да се открие във финансовата индустрия. Изследователите откриха пропуски в сигурността на банковите приложения, които съдържаха средно 52 уязвимости с отворен код на приложение. Общо 60 процента от тези приложения съдържат грешки, които се считат за критични.

В допълнение, търговията на дребно и електронната търговия имат най-висок дял от приложения с високорискови уязвимости, с общо 83 процента от одитираните приложения, съдържащи критични проблеми, причинени от използването на компоненти с отворен код, които са били незакърпен.

Вижте също: HackerOne предоставя професионални услуги безплатно на проекти с отворен код

Когато бяха включени лицензионни конфликти с отворен код, този проблем беше широко разпространен по време на одита.

Над 85 процента от приложенията в одита съдържаха компоненти с отворен код с „предизвикателства“ при лицензирането, като несъответствия в правата на интелектуална собственост – включително противоречиви копилефт или разрешителни лицензи (.PDF), права за използване и разпространение и проблеми с правилата за съответствие, които имат за цел да защитят правата на разработчиците, които са работили върху безплатните компоненти.

„Всички използват много отворен код, но както показват одитите, много малко от тях вършат адекватна работа по откриване, отстраняване и наблюдение компоненти с отворен код и уязвимости в техните приложения“, каза Крис Фърън, директор на Black Duck's Open Source Security Research Група.

„Резултатите от анализа на COSRI ясно демонстрират, че организациите във всяка индустрия трябва да извървят дълъг път, преди да започнат ефективно да управляват своя отворен код“, добави Ферън.

Служителите ще предават работни пароли на хакери срещу пари