მკვლევარებმა აღმოაჩინეს, რომ კომერციული საბანკო აპლიკაციები შეიცავს ღია კოდის შეცდომებს

ღია კოდის პროექტები დიდი ხანია სასარგებლო იყო პროგრამული უზრუნველყოფის დეველოპერებისთვის, მაგრამ ახალი კვლევა ვარაუდობს, რომ მათმა გამოყენებამ შეიძლება ზიანი მიაყენოს აპლიკაციის უსაფრთხოებას.

Black Duck Software-ის მკვლევარების აზრით, ფირმაში 2017 ღია კოდის უსაფრთხოებისა და რისკების ანალიზი (OSSRA) ანგარიშის თანახმად, ღია წყაროს პროგრამული უზრუნველყოფის გამოყენებისას არსებობს "მნიშვნელოვანი ინდუსტრიის მხრივ რისკები". კერძოდ, ასეთ პროგრამულ უზრუნველყოფასა და კომპონენტებში აღმოჩენილი დაუცველობა არ მკურნალობს ისე, როგორც უნდა.

ბურლინგტონში, მასა, დაფუძნებული ფირმა ამბობს, რომ უსაფრთხოების სუსტი პრაქტიკის გამო, ეს ასევე წარმოადგენს შესაბამისობის გამოწვევა -- და აუდიტის ანგარიშის შედეგები უნდა იყოს "გაღვიძების ზარი". დეველოპერები.

ახალი კვლევა მოიცავს 1000-ზე მეტი აპლიკაციის აუდიტს, რომლებიც ჩვეულებრივ გამოიყენება საწარმოს მიერ 2016 წლის განმავლობაში. მთლიანობაში, აპლიკაციების 96 პროცენტი მოიცავდა ღია კოდის კომპონენტებს და აპლიკაციების 60 პროცენტზე მეტი შეიცავდა ღია კოდის უსაფრთხოების დაუცველობას - ზოგიერთი მათგანი ოთხ წელზე მეტი ასაკის იყო.

ღია კოდის პროგრამული უზრუნველყოფა და კომპონენტები ღირებულია საშუალო დეველოპერისთვის, რადგან მათ შეუძლიათ შეამცირონ განვითარების ხარჯები, გაზარდონ პროდუქტების ბაზარზე გატანის სიჩქარე და გაზარდონ ინოვაცია.

თუმცა, ეს პროექტები ეყრდნობა დეველოპერების საზოგადოებებს, რომლებიც იყენებენ თავიანთ ნიჭს უფასოდ და ზოგჯერ შეიძლება გამოტოვოთ შეცდომები.

თუ ღია კოდის კომპონენტი, რომელიც შეიცავს დაუცველობას, უნდა გაიაროს მესამე მხარეში პროდუქტები, ეს, თავის მხრივ, ზრდის თავდასხმის პოტენციურ ვექტორებს და ექსპოზიციას, რამაც შეიძლება ზიანი მიაყენოს აპებს და პროგრამული უზრუნველყოფა.

როდესაც შეცდომები აღმოჩენილია, როგორიცაა Heartbleed -- ექსპლუატირებადი დაუცველობა OpenSSL-ის კომპონენტში -- მოვაჭრეები პასუხისმგებელნი არიან ამ საკითხების შესწორებაზე, მაგრამ ანგარიში ვარაუდობენ, რომ ბევრ კომპანიას არ აქვს ხილვადობა საკუთარ აპლიკაციებში და რამდენად ეყრდნობა ღია წყაროს კომპონენტები.

სუსტი პრაქტიკის ერთ-ერთი ყველაზე საშიში შედეგი შეიძლება აღმოჩნდეს ფინანსურ ინდუსტრიაში. მკვლევარებმა აღმოაჩინეს უსაფრთხოების ხარვეზები საბანკო აპებში, რომლებიც შეიცავდა საშუალოდ 52 ღია წყაროს დაუცველობას თითო აპლიკაციაში. საერთო ჯამში, ამ აპლიკაციების 60 პროცენტი შეიცავდა შეცდომებს, რომლებიც კრიტიკულად ითვლება.

გარდა ამისა, საცალო და ელექტრონული კომერციის ინდუსტრიას აქვს აპლიკაციების ყველაზე მაღალი წილი მაღალი რისკის მოწყვლადობით, აუდიტირებული აპლიკაციების სულ 83 პროცენტი, რომელიც შეიცავს კრიტიკულ საკითხებს, რომლებიც გამოწვეული იყო ღია კოდის კომპონენტების გამოყენებით. დაუფარავი.

Იხილეთ ასევე: HackerOne პროფესიონალურ სერვისებს უფასოდ გასცემს ღია კოდის პროექტებს

როდესაც იყო ღია ლიცენზირების კონფლიქტი, ეს პრობლემა ფართოდ იყო გავრცელებული აუდიტის განმავლობაში.

აუდიტის განაცხადების 85 პროცენტზე მეტი შეიცავდა ღია კოდის კომპონენტებს ლიცენზირების „გამოწვევებით“, როგორიცაა ინტელექტუალური საკუთრების უფლებების უთანასწორობა - მათ შორის კონფლიქტური copyleft ან ნებადართული ლიცენზიები (.PDF), გამოყენებისა და განაწილების უფლებები და შესაბამისობის წესების საკითხები, რომლებიც გამიზნულია იმ დეველოპერების უფლებების დასაცავად, რომლებიც მუშაობდნენ უფასო კომპონენტებზე.

”ყველა იყენებს უამრავ ღია წყაროს, მაგრამ როგორც აუდიტი აჩვენებს, ძალიან ცოტანი აკეთებენ ადეკვატურ სამუშაოს აღმოჩენის, გამოსწორების და მონიტორინგის შესახებ. ღია კოდის კომპონენტები და დაუცველობა მათ აპლიკაციებში“, - თქვა კრის ფეარონმა, Black Duck's Open Source Security Research-ის დირექტორმა. ჯგუფი.

"COSRI ანალიზის შედეგები ნათლად აჩვენებს, რომ ორგანიზაციებს ყველა ინდუსტრიაში დიდი გზა აქვთ გასავლელი, სანამ ისინი ეფექტურად მართავდნენ ღია წყაროს," დასძინა ფეარონმა.

თანამშრომლები სამუშაო პაროლებს ფულის სანაცვლოდ ჰაკერებს გადასცემენ