Zatiaľ čo mnohí vývojári sa spoliehajú na komponenty s otvoreným zdrojovým kódom, pri objavení chýb nemusia mať náskok pred hrou.
Projekty s otvoreným zdrojovým kódom sa už dlho ukázali ako prínos pre vývojárov softvéru, no nový výskum naznačuje, že ich používanie môže ohroziť bezpečnosť aplikácií.
Podľa výskumníkov z Black Duck Software vo firme 2017 Open Source bezpečnosť a analýza rizík (OSSRA), existujú „významné medziodvetvové riziká“ pri používaní softvéru s otvoreným zdrojovým kódom. Konkrétne, slabé miesta nájdené v takomto softvéri a komponentoch sa neriešia tak, ako by mali.
Firma so sídlom v Burlingtone, Massachusetts, tvrdí, že kvôli laxným bezpečnostným praktikám to predstavuje aj a výzva na dodržiavanie súladu – a výsledky audítorskej správy by mali byť „budíčkom“. vývojárov.
Nový výskum zahŕňa audity viac ako 1 000 aplikácií bežne používaných podnikom počas roku 2016. Celkovo 96 percent aplikácií obsahovalo komponenty s otvoreným zdrojovým kódom a viac ako 60 percent aplikácií obsahovalo chyby zabezpečenia s otvoreným zdrojom – niektoré z nich boli staršie ako štyri roky.
Softvér a komponenty s otvoreným zdrojom sú cenné pre priemerného vývojára, pretože môžu znížiť náklady na vývoj, zvýšiť rýchlosť uvádzania produktov na trh a podporiť inovácie.
Tieto projekty sa však spoliehajú na komunity vývojárov, ktorí využívajú svoj talent zadarmo, a niekedy môžu chýbať chyby.
Ak by sa komponent s otvoreným zdrojovým kódom obsahujúci zraniteľnosť dostal do tretej strany produkty, to zase zvyšuje potenciálne vektory útokov a vystavenie, ktoré môže ohroziť aplikácie a softvér.
Keď sa zistia chyby, ako napríklad Heartbleed -- zneužiteľná zraniteľnosť v komponente OpenSSL -- dodávatelia sú zodpovední za opravu týchto problémov, ale správa naznačil, že veľa spoločností má nedostatok prehľadu o svojich vlastných aplikáciách a o tom, do akej miery sa spoliehajú na open-source komponentov.
Jeden z najnebezpečnejších dôsledkov laxných praktík možno nájsť vo finančnom odvetví. Výskumníci objavili bezpečnostné chyby v bankových aplikáciách, ktoré obsahovali v priemere 52 zraniteľností s otvoreným zdrojom na aplikáciu. Celkovo 60 percent týchto aplikácií obsahovalo chyby, ktoré sa považujú za kritické.
Okrem toho má maloobchodný a elektronický obchod najvyšší podiel aplikácií s vysoko rizikovými zraniteľnosťami, celkovo 83 percent kontrolovaných aplikácií obsahovalo kritické problémy spôsobené používaním open source komponentov, ktoré boli nezaplátaný.
Pozri tiež: HackerOne poskytuje profesionálne služby zadarmo pre open source projekty
Keď išlo o licenčné konflikty s otvoreným zdrojom, tento problém bol rozšírený počas celého auditu.
Viac ako 85 percent aplikácií v audite obsahovalo open source komponenty s licenčnými „výzvami“, ako sú rozdiely v právach duševného vlastníctva – vrátane konfliktných copyleft alebo permisívne licencie (.PDF), práva na používanie a distribúciu a problémy s pravidlami dodržiavania pravidiel, ktoré sú určené na ochranu práv vývojárov, ktorí pracovali na bezplatných komponentoch.
„Každý používa veľa open-source, ale ako ukazujú audity, len veľmi málo z nich robí primeranú prácu pri zisťovaní, náprave a monitorovaní open-source komponenty a zraniteľnosti v ich aplikáciách,“ povedal Chris Fearon, riaditeľ Black Duck's Open Source Security Research. Skupina.
„Výsledky analýzy COSRI jasne ukazujú, že organizácie v každom odvetví musia prejsť ešte dlhú cestu, kým efektívne spravujú svoj open source,“ dodal Fearon.
Zamestnanci budú hackerom za peniaze odovzdávať pracovné heslá
10 vecí, ktoré ste nevedeli o temnom webe
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej