Не залишайте відкритий код відкритим для вразливостей
Не змогли відвідати Transform 2022? Перегляньте всі сесії саміту в нашій бібліотеці за запитом! Подивіться сюди.
Програмне забезпечення з відкритим кодом стало основою цифрової економіки: воно становить приблизно 70–90% усього сучасного програмного забезпечення.
Але хоча він має багато переваг (він придатний для співпраці, масштабований, гнучкий і економічно ефективний), він також пронизаний вразливими місцями та іншими відомими та ще невідомими проблемами безпеки. Враховуючи вибух у його прийнятті, він становить значний ризик для організацій на всіх рівнях.
Виникаючі проблеми посилюють традиційні вразливості та ризики ліцензування, підкреслюючи терміновість і важливість захисту коду програмного забезпечення з відкритим вихідним кодом (OSS), який оприлюднений і вільно доступний для розповсюдження, модифікації, перегляду та спільного використання.
«Останнім часом екосистема з відкритим кодом перебуває в облозі», — сказав Девід Вілер, директор із безпеки ланцюга поставок із відкритим кодом у Linux Foundation.
ПодіяMetaBeat 2022
4 жовтня в Сан-Франциско, штат Каліфорнія, MetaBeat збере лідерів думок, щоб порадити, як технологія метавсесвіту змінить спосіб спілкування та ведення бізнесу в усіх галузях.
зареєструватися тутВін зазначив, що атаки не є унікальними для відкритого коду. Лише подивіться на нищівну облогу ланцюга поставок Orion від SolarWinds, який є закритою системою. Зрештою, «нам потрібно захистити все програмне забезпечення, включаючи екосистему з відкритим кодом».
Критична ситуація для open sourceЗгідно зі звітом Linux Foundation, технологічні лідери добре усвідомлюють цей факт, але повільно вживають заходів безпеки для відкритого коду.
Серед результатів:
Лише 49% організацій мають політику безпеки, яка охоплює розробку або використання (OSS). 59% організацій кажуть, що їхні OSS є відносно безпечними або дуже безпечними. Лише 24% організацій впевнені в безпеці своїх прямих залежностей.Крім того, згідно зі звітом, у середньому програми мають принаймні п’ять невирішених критичних уразливостей.
Приклад: системні проблеми, які призвели до інциденту Log4Shell. Уразливість програмного забезпечення в Apache Log4j, популярній бібліотеці Java для реєстрації повідомлень про помилки в програмах, була складною та широко поширеною, вражаючи приблизно 44% корпоративних мереж у всьому світі. І це все ще впливає на бізнес сьогодні.
Як наслідок, у нещодавньому звіті Комісії з аналізу кібербезпеки зазначено, що Log4j став «ендемічною вразливістю», яку використовуватимуть роками.
Тим часом Агентство з кібербезпеки та безпеки інфраструктури (CISA) нещодавно оголосило, що версії популярного пакета NPM «ua-parser-js» містять шкідливий код. Пакет використовується в програмах і на веб-сайтах, щоб визначити тип пристрою або браузера, який використовується. Зламані комп’ютери або пристрої можуть дозволити віддаленим зловмисникам отримати конфіденційну інформацію або взяти під контроль систему.
Зрештою, коли вразливість оприлюднена в OSS, зловмисники використовуватимуть цю інформацію для дослідження системи...
![Не залишайте відкритий код відкритим для вразливостей](https://venturebeat.com/wp-content/uploads/2021/06/What-is-open-source.png?w=1200&strip=all)
Не змогли відвідати Transform 2022? Перегляньте всі сесії саміту в нашій бібліотеці за запитом! Подивіться сюди.
Програмне забезпечення з відкритим кодом стало основою цифрової економіки: воно становить приблизно 70–90% усього сучасного програмного забезпечення.
Але хоча він має багато переваг (він придатний для співпраці, масштабований, гнучкий і економічно ефективний), він також пронизаний вразливими місцями та іншими відомими та ще невідомими проблемами безпеки. Враховуючи вибух у його прийнятті, він становить значний ризик для організацій на всіх рівнях.
Виникаючі проблеми посилюють традиційні вразливості та ризики ліцензування, підкреслюючи терміновість і важливість захисту коду програмного забезпечення з відкритим вихідним кодом (OSS), який оприлюднений і вільно доступний для розповсюдження, модифікації, перегляду та спільного використання.
«Останнім часом екосистема з відкритим кодом перебуває в облозі», — сказав Девід Вілер, директор із безпеки ланцюга поставок із відкритим кодом у Linux Foundation.
ПодіяMetaBeat 2022
4 жовтня в Сан-Франциско, штат Каліфорнія, MetaBeat збере лідерів думок, щоб порадити, як технологія метавсесвіту змінить спосіб спілкування та ведення бізнесу в усіх галузях.
зареєструватися тутВін зазначив, що атаки не є унікальними для відкритого коду. Лише подивіться на нищівну облогу ланцюга поставок Orion від SolarWinds, який є закритою системою. Зрештою, «нам потрібно захистити все програмне забезпечення, включаючи екосистему з відкритим кодом».
Критична ситуація для open sourceЗгідно зі звітом Linux Foundation, технологічні лідери добре усвідомлюють цей факт, але повільно вживають заходів безпеки для відкритого коду.
Серед результатів:
Лише 49% організацій мають політику безпеки, яка охоплює розробку або використання (OSS). 59% організацій кажуть, що їхні OSS є відносно безпечними або дуже безпечними. Лише 24% організацій впевнені в безпеці своїх прямих залежностей.Крім того, згідно зі звітом, у середньому програми мають принаймні п’ять невирішених критичних уразливостей.
Приклад: системні проблеми, які призвели до інциденту Log4Shell. Уразливість програмного забезпечення в Apache Log4j, популярній бібліотеці Java для реєстрації повідомлень про помилки в програмах, була складною та широко поширеною, вражаючи приблизно 44% корпоративних мереж у всьому світі. І це все ще впливає на бізнес сьогодні.
Як наслідок, у нещодавньому звіті Комісії з аналізу кібербезпеки зазначено, що Log4j став «ендемічною вразливістю», яку використовуватимуть роками.
Тим часом Агентство з кібербезпеки та безпеки інфраструктури (CISA) нещодавно оголосило, що версії популярного пакета NPM «ua-parser-js» містять шкідливий код. Пакет використовується в програмах і на веб-сайтах, щоб визначити тип пристрою або браузера, який використовується. Зламані комп’ютери або пристрої можуть дозволити віддаленим зловмисникам отримати конфіденційну інформацію або взяти під контроль систему.
Зрештою, коли вразливість оприлюднена в OSS, зловмисники використовуватимуть цю інформацію для дослідження системи...
What's Your Reaction?
![like](https://vidianews.com/assets/img/reactions/like.png)
![dislike](https://vidianews.com/assets/img/reactions/dislike.png)
![love](https://vidianews.com/assets/img/reactions/love.png)
![funny](https://vidianews.com/assets/img/reactions/funny.png)
![angry](https://vidianews.com/assets/img/reactions/angry.png)
![sad](https://vidianews.com/assets/img/reactions/sad.png)
![wow](https://vidianews.com/assets/img/reactions/wow.png)