Безопасность с открытым исходным кодом имеет важное значение для безопасности предприятия

Безопасность с открытым исходным кодом имеет важное значение для безопасности предприятия
Почти десять лет назад Марк Андреессен написал в Wall Street Journal , как программное обеспечение «пожирает мир». И в наш век цифровой трансформации это, безусловно, так. Программные боты автоматизируют ручные процессы. Программное обеспечение играет все более важную роль в каждой машине и устройстве, которые мы используем.

Сегодня программное обеспечение с открытым исходным кодом является краеугольным камнем корпоративного программного обеспечения. Рассмотрим хотя бы недавнее приобретение IBM Red Hat за 32 миллиарда долларов или успех первичных публичных предложений, таких как Elastic и MongoDB.

Программное обеспечение (ПО) с открытым исходным кодом можно найти практически на всех предприятиях, а корпоративное программное обеспечение зависит от библиотек с открытым исходным кодом.

Влияние на безопасность
ПО с открытым исходным кодом оказывает серьезное влияние на безопасность, и это становится все большей проблемой для предприятий.

В прошлом году Black Duck от Synopsys выпустила свою программу анализа безопасности и рисков с открытым исходным кодом  (OSSRA). В ходе анализа были изучены анонимные данные из 1200 коммерческих кодовых баз, включая программное обеспечение с открытым исходным кодом и библиотеки. Исследование показало, что потенциально 60% всех корпоративных кодовых баз содержат по крайней мере одну уязвимость, связанную с открытым исходным кодом.

Инциденты кибербезопасности с открытым исходным кодом
Пожалуй, самый известный пример — это взлом Equifax. В 2017 году поставщик потребительского кредитного рейтинга пострадал от инцидента, который затронул почти всех в Соединенных Штатах с кредитным отчетом (143 миллиона потребителей), раскрыв их личную информацию, включая номера социального страхования и номера водительских прав. Как потом писали, компания не смогла исправить уязвимость Apache Struts с открытым исходным кодом в течение нескольких месяцев.

В апреле 2018 года веб-сайты электронной коммерции, полагающиеся на широко распространенную платформу Magento, подвергались атакам методом подбора пароля для получения доступа к административным панелям в целях кражи кредитных карт. Злоумышленники также устанавливали вредоносное ПО для майнинга криптовалюты, что в то время было очень популярно.
Но не только большие платформы с открытым исходным кодом, такие как Apache Struts и Magento, являются проблемой корпоративной безопасности с открытым исходным кодом.

Об исследовании ПО с открытым исходным кодом
С появлением гибких методологий разработки и методов управления DevOps корпоративные группы обратились к более открытым средам разработки и связанным с ними библиотекам. Недавно компания Veracode, занимающаяся защитой программного обеспечения, выпустила отчет State of Software Security : Open Source Edition, в котором поставщик проанализировал библиотеки с открытым исходным кодом и сообщил о 351 000 уникальных внешних библиотеках из 85 000 приложений.

Часто разработчики могут даже не знать, от каких библиотек с открытым исходным кодом они зависят. Но когда эти библиотеки становятся зависимы от систем и приложений (и обнаруживаются уязвимости), предприятие может подвергнуться значительному риску

Veracode обнаружила, что:
  • 71% приложений содержат уязвимости, связанные с библиотеками с открытым исходным кодом.
  • 47% этих уязвимостей были транзитивными. Было обнаружено, что PHP и Ruby привносят в приложения самые транзитивные зависимости.
  • У JavaScript колоссальные 87%. Поскольку транзитивные зависимости могут быть настолько широко распространены в организациях, уязвимая поверхность для атак организации может легко стать значительной.
  • 96% неисправных недостатков аутентификации также можно исправить с помощью патча, и то же самое верно для 90% уязвимостей межсайтового скриптинга.
  • 90% уязвимостей неработающего контроля доступа можно исправить с помощью патча.

Другие проблемы безопасности с открытым исходным кодом
Еще в 2016 году Sonatype выпустила отчет о состоянии цепочки поставок программного обеспечения. В интервью директор Sonatype сказал:
«Еще одна вещь, которая меня удивила, — это отсутствие прозрачности и контроля со стороны специалистов по безопасности, юриспруденции и архитектуре над потреблением компонентов с открытым исходным кодом. Я думаю, что последнее, что меня удивило, это то, что некоторые из общедоступных репозиториев с открытым исходным кодом являются изменяемыми в том смысле, что они позволяют изменять биты для конкретного и опубликованного компонента или что они позволяют удалять опубликованные артефакты. Для меня это были три больших сюрприза».
Он также отметил важность безопасности программного обеспечения с открытым исходным кодом:
«Компоненты с открытым исходным кодом есть везде, на всех языках. Экосистемы, в которых размещаются компоненты с открытым исходным кодом, иногда имеют очень слабый контроль над программным обеспечением в своих собственных репозиториях. Если бы вы строили качели для своих детей, захотели бы вы обычные болты из долларового магазина или более качественные болты из хозяйственного магазина».
В заключении
Что должны делать группы безопасности для защиты своего программного обеспечения с открытым исходным кодом, включая библиотеки? В основном это обеспечение охвата, включая оценку и каталогизацию имеющегося программного обеспечения и библиотек с открытым исходным кодом. А также отслеживание их версий и обеспечение их исправления и актуальности.
Программное обеспечение с открытым исходным кодом можно защитить, особенно если сообщество стремится своевременно обнаруживать и исправлять недостатки программного обеспечения.
безопасность кибербезопасность уязвимость антивирус
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Bitdefender Россия

Bitdefender является производителем программных продуктов для обеспечения информационной безопасности. Решения Bitdefender защищают сотни миллионов домашних и корпоративных пользователей во всем мире. Программные средства защиты от вирусов Bitdefender распространяются через партнерскую сеть компании более чем в 100 странах.