Сегодня программное обеспечение с открытым исходным кодом является краеугольным камнем корпоративного программного обеспечения. Рассмотрим хотя бы недавнее приобретение IBM Red Hat за 32 миллиарда долларов или успех первичных публичных предложений, таких как Elastic и MongoDB.
Программное обеспечение (ПО) с открытым исходным кодом можно найти практически на всех предприятиях, а корпоративное программное обеспечение зависит от библиотек с открытым исходным кодом.
Влияние на безопасность
ПО с открытым исходным кодом оказывает серьезное влияние на безопасность, и это становится все большей проблемой для предприятий.
В прошлом году Black Duck от Synopsys анализа безопасности и рисков с открытым исходным кодом (OSSRA). В ходе анализа были изучены анонимные данные из 1200 коммерческих кодовых баз, включая программное обеспечение с открытым исходным кодом и библиотеки. Исследование показало, что потенциально 60% всех корпоративных кодовых баз содержат по крайней мере одну уязвимость, связанную с открытым исходным кодом.
Инциденты кибербезопасности с открытым исходным кодом
Пожалуй, самый известный пример — это взлом Equifax. В 2017 году поставщик потребительского кредитного рейтинга пострадал от инцидента, который затронул почти всех в Соединенных Штатах с кредитным отчетом (143 миллиона потребителей), раскрыв их личную информацию, включая номера социального страхования и номера водительских прав. Как потом писали, компания не смогла исправить уязвимость Apache Struts с открытым исходным кодом в течение нескольких месяцев.
В апреле 2018 года веб-сайты электронной коммерции, полагающиеся на широко распространенную платформу Magento, подвергались атакам методом подбора пароля для получения доступа к административным панелям в целях кражи кредитных карт. Злоумышленники также устанавливали вредоносное ПО для майнинга криптовалюты, что в то время было очень популярно.
Но не только большие платформы с открытым исходным кодом, такие как Apache Struts и Magento, являются проблемой корпоративной безопасности с открытым исходным кодом.
Об исследовании ПО с открытым исходным кодом
С появлением гибких методологий разработки и методов управления DevOps корпоративные группы обратились к более открытым средам разработки и связанным с ними библиотекам. Недавно компания Veracode, занимающаяся защитой программного обеспечения, : Open Source Edition, в котором поставщик проанализировал библиотеки с открытым исходным кодом и сообщил о 351 000 уникальных внешних библиотеках из 85 000 приложений.
Часто разработчики могут даже не знать, от каких библиотек с открытым исходным кодом они зависят. Но когда эти библиотеки становятся зависимы от систем и приложений (и обнаруживаются уязвимости), предприятие может подвергнуться значительному риску
Veracode обнаружила, что:
- 71% приложений содержат уязвимости, связанные с библиотеками с открытым исходным кодом.
- 47% этих уязвимостей были транзитивными. Было обнаружено, что PHP и Ruby привносят в приложения самые транзитивные зависимости.
- У JavaScript колоссальные 87%. Поскольку транзитивные зависимости могут быть настолько широко распространены в организациях, уязвимая поверхность для атак организации может легко стать значительной.
- 96% неисправных недостатков аутентификации также можно исправить с помощью патча, и то же самое верно для 90% уязвимостей межсайтового скриптинга.
- 90% уязвимостей неработающего контроля доступа можно исправить с помощью патча.
Другие проблемы безопасности с открытым исходным кодом
Еще в 2016 году Sonatype выпустила отчет о состоянии цепочки поставок программного обеспечения. В интервью директор Sonatype сказал:
«Еще одна вещь, которая меня удивила, — это отсутствие прозрачности и контроля со стороны специалистов по безопасности, юриспруденции и архитектуре над потреблением компонентов с открытым исходным кодом. Я думаю, что последнее, что меня удивило, это то, что некоторые из общедоступных репозиториев с открытым исходным кодом являются изменяемыми в том смысле, что они позволяют изменять биты для конкретного и опубликованного компонента или что они позволяют удалять опубликованные артефакты. Для меня это были три больших сюрприза».
Он также отметил важность безопасности программного обеспечения с открытым исходным кодом:
«Компоненты с открытым исходным кодом есть везде, на всех языках. Экосистемы, в которых размещаются компоненты с открытым исходным кодом, иногда имеют очень слабый контроль над программным обеспечением в своих собственных репозиториях. Если бы вы строили качели для своих детей, захотели бы вы обычные болты из долларового магазина или более качественные болты из хозяйственного магазина».
В заключении
Что должны делать группы безопасности для защиты своего программного обеспечения с открытым исходным кодом, включая библиотеки? В основном это обеспечение охвата, включая оценку и каталогизацию имеющегося программного обеспечения и библиотек с открытым исходным кодом. А также отслеживание их версий и обеспечение их исправления и актуальности.
Программное обеспечение с открытым исходным кодом можно защитить, особенно если сообщество стремится своевременно обнаруживать и исправлять недостатки программного обеспечения.
