Iako se mnogi programeri oslanjaju na komponente otvorenog koda, možda neće biti ispred igre kada se otkriju greške.
Projekti otvorenog koda odavno su se pokazali kao blagodat za programere softvera općenito, ali nova istraživanja sugeriraju da njihova upotreba može ugroziti sigurnost aplikacija.
Prema istraživačima iz Black Duck Softwarea, u tvrtki 2017. Sigurnost otvorenog koda i analiza rizika (OSSRA), postoje "značajni međuindustrijski rizici" u korištenju softvera otvorenog koda. Naime, ranjivosti pronađene u takvom softveru i komponentama ne rješavaju se kako bi trebale.
Tvrtka sa sjedištem u Burlingtonu, Massachusetts, kaže da zbog slabe sigurnosne prakse ovo također predstavlja izazov za usklađenost -- a rezultati revizijskog izvješća trebali bi biti "poziv na buđenje". programeri.
Novo istraživanje uključuje revizije više od 1000 aplikacija koje tvrtka obično koristi tijekom 2016. Ukupno je 96 posto aplikacija uključivalo komponente otvorenog koda, a više od 60 posto aplikacija sadržavalo je sigurnosne propuste otvorenog koda -- od kojih su neki bili stariji od četiri godine.
Softver i komponente otvorenog koda vrijedni su za prosječnog programera jer mogu smanjiti troškove razvoja, povećati brzinu plasiranja proizvoda na tržište i potaknuti inovacije.
Međutim, ti se projekti oslanjaju na zajednice programera koji besplatno koriste svoje talente, a ponekad se greške mogu propustiti.
Ako komponenta otvorenog izvornog koda koja sadrži ranjivost tada dospije do treće strane proizvoda, to zauzvrat povećava potencijalne vektore napada i izloženost koja može ugroziti aplikacije i softver.
Kada se otkriju greške, kao što je Heartbleed -- ranjivost koja se može iskoristiti u komponenti OpenSSL -- dobavljači su odgovorni za krpanje ovih problema, ali izvješće sugerira da mnoge tvrtke nemaju dovoljno uvida u vlastite aplikacije i koliko se oslanjaju na otvoreni kod komponente.
Jedna od najopasnijih posljedica labave prakse može se pronaći u financijskoj industriji. Istraživači su otkrili sigurnosne propuste u bankarskim aplikacijama koje su u prosjeku sadržavale 52 ranjivosti otvorenog koda po aplikaciji. Ukupno je 60 posto tih aplikacija sadržavalo pogreške koje se smatraju kritičnima.
Osim toga, industrija maloprodaje i e-trgovine ima najveći udio aplikacija s visokorizičnim ranjivostima, s ukupno 83 posto revidiranih aplikacija koje sadrže kritične probleme uzrokovane upotrebom komponenti otvorenog koda koje su bile nezakrpan.
Vidi također: HackerOne besplatno pruža profesionalne usluge projektima otvorenog koda
Kada su bili uključeni sukobi licenciranja otvorenog koda, ovaj je problem bio raširen tijekom revizije.
Preko 85 posto aplikacija u reviziji sadržavalo je komponente otvorenog koda s "izazovima" licenciranja, kao što su razlike u pravima intelektualnog vlasništva -- uključujući proturječna copyleft ili permisivne licence (.PDF), prava korištenja i distribucije te pitanja pravila usklađenosti, koja su namijenjena zaštiti prava programera koji su radili na besplatnim komponentama.
"Svi koriste dosta otvorenog izvornog koda, ali kao što revizije pokazuju, vrlo malo njih obavlja adekvatan posao otkrivanja, popravljanja i praćenja komponente otvorenog koda i ranjivosti u njihovim aplikacijama," rekao je Chris Fearon, direktor Black Duck's Open Source Security Research Skupina.
"Rezultati COSRI analize jasno pokazuju da organizacije u svakoj industriji moraju prijeći dug put prije nego počnu učinkovito upravljati svojim otvorenim kodom", dodao je Fearon.
Zaposlenici će hakerima za novac predati poslovne lozinke
10 stvari koje niste znali o Dark Webu
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće