Безопасность с открытым исходным кодом имеет важное значение для безопасности предприятия

Безопасность с открытым исходным кодом имеет важное значение для безопасности предприятия
Почти десять лет назад Марк Андреессен написал в Wall Street Journal , как программное обеспечение «пожирает мир». И в наш век цифровой трансформации это, безусловно, так. Программные боты автоматизируют ручные процессы. Программное обеспечение играет все более важную роль в каждой машине и устройстве, которые мы используем.

Сегодня программное обеспечение с открытым исходным кодом является краеугольным камнем корпоративного программного обеспечения. Рассмотрим хотя бы недавнее приобретение IBM Red Hat за 32 миллиарда долларов или успех первичных публичных предложений, таких как Elastic и MongoDB.

Программное обеспечение (ПО) с открытым исходным кодом можно найти практически на всех предприятиях, а корпоративное программное обеспечение зависит от библиотек с открытым исходным кодом.

Влияние на безопасность
ПО с открытым исходным кодом оказывает серьезное влияние на безопасность, и это становится все большей проблемой для предприятий.

В прошлом году Black Duck от Synopsys выпустила свою программу анализа безопасности и рисков с открытым исходным кодом  (OSSRA). В ходе анализа были изучены анонимные данные из 1200 коммерческих кодовых баз, включая программное обеспечение с открытым исходным кодом и библиотеки. Исследование показало, что потенциально 60% всех корпоративных кодовых баз содержат по крайней мере одну уязвимость, связанную с открытым исходным кодом.

Инциденты кибербезопасности с открытым исходным кодом
Пожалуй, самый известный пример — это взлом Equifax. В 2017 году поставщик потребительского кредитного рейтинга пострадал от инцидента, который затронул почти всех в Соединенных Штатах с кредитным отчетом (143 миллиона потребителей), раскрыв их личную информацию, включая номера социального страхования и номера водительских прав. Как потом писали, компания не смогла исправить уязвимость Apache Struts с открытым исходным кодом в течение нескольких месяцев.

В апреле 2018 года веб-сайты электронной коммерции, полагающиеся на широко распространенную платформу Magento, подвергались атакам методом подбора пароля для получения доступа к административным панелям в целях кражи кредитных карт. Злоумышленники также устанавливали вредоносное ПО для майнинга криптовалюты, что в то время было очень популярно.
Но не только большие платформы с открытым исходным кодом, такие как Apache Struts и Magento, являются проблемой корпоративной безопасности с открытым исходным кодом.

Об исследовании ПО с открытым исходным кодом
С появлением гибких методологий разработки и методов управления DevOps корпоративные группы обратились к более открытым средам разработки и связанным с ними библиотекам. Недавно компания Veracode, занимающаяся защитой программного обеспечения, выпустила отчет State of Software Security : Open Source Edition, в котором поставщик проанализировал библиотеки с открытым исходным кодом и сообщил о 351 000 уникальных внешних библиотеках из 85 000 приложений.

Часто разработчики могут даже не знать, от каких библиотек с открытым исходным кодом они зависят. Но когда эти библиотеки становятся зависимы от систем и приложений (и обнаруживаются уязвимости), предприятие может подвергнуться значительному риску

Veracode обнаружила, что:
  • 71% приложений содержат уязвимости, связанные с библиотеками с открытым исходным кодом.
  • 47% этих уязвимостей были транзитивными. Было обнаружено, что PHP и Ruby привносят в приложения самые транзитивные зависимости.
  • У JavaScript колоссальные 87%. Поскольку транзитивные зависимости могут быть настолько широко распространены в организациях, уязвимая поверхность для атак организации может легко стать значительной.
  • 96% неисправных недостатков аутентификации также можно исправить с помощью патча, и то же самое верно для 90% уязвимостей межсайтового скриптинга.
  • 90% уязвимостей неработающего контроля доступа можно исправить с помощью патча.

Другие проблемы безопасности с открытым исходным кодом
Еще в 2016 году Sonatype выпустила отчет о состоянии цепочки поставок программного обеспечения. В интервью директор Sonatype сказал:
«Еще одна вещь, которая меня удивила, — это отсутствие прозрачности и контроля со стороны специалистов по безопасности, юриспруденции и архитектуре над потреблением компонентов с открытым исходным кодом. Я думаю, что последнее, что меня удивило, это то, что некоторые из общедоступных репозиториев с открытым исходным кодом являются изменяемыми в том смысле, что они позволяют изменять биты для конкретного и опубликованного компонента или что они позволяют удалять опубликованные артефакты. Для меня это были три больших сюрприза».
Он также отметил важность безопасности программного обеспечения с открытым исходным кодом:
«Компоненты с открытым исходным кодом есть везде, на всех языках. Экосистемы, в которых размещаются компоненты с открытым исходным кодом, иногда имеют очень слабый контроль над программным обеспечением в своих собственных репозиториях. Если бы вы строили качели для своих детей, захотели бы вы обычные болты из долларового магазина или более качественные болты из хозяйственного магазина».
В заключении
Что должны делать группы безопасности для защиты своего программного обеспечения с открытым исходным кодом, включая библиотеки? В основном это обеспечение охвата, включая оценку и каталогизацию имеющегося программного обеспечения и библиотек с открытым исходным кодом. А также отслеживание их версий и обеспечение их исправления и актуальности.
Программное обеспечение с открытым исходным кодом можно защитить, особенно если сообщество стремится своевременно обнаруживать и исправлять недостатки программного обеспечения.
безопасность кибербезопасность уязвимость антивирус
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Bitdefender Россия

Bitdefender является производителем программных продуктов для обеспечения информационной безопасности. Решения Bitdefender защищают сотни миллионов домашних и корпоративных пользователей во всем мире. Программные средства защиты от вирусов Bitdefender распространяются через партнерскую сеть компании более чем в 100 странах.