Не залишайте відкритий код відкритим для вразливостей

Не змогли відвідати Transform 2022? Перегляньте всі сесії саміту в нашій бібліотеці за запитом! Подивіться сюди.

Програмне забезпечення з відкритим кодом стало основою цифрової економіки: воно становить приблизно 70–90% усього сучасного програмного забезпечення.

Але хоча він має багато переваг (він придатний для співпраці, масштабований, гнучкий і економічно ефективний), він також пронизаний вразливими місцями та іншими відомими та ще невідомими проблемами безпеки. Враховуючи вибух у його прийнятті, він становить значний ризик для організацій на всіх рівнях.

Виникаючі проблеми посилюють традиційні вразливості та ризики ліцензування, підкреслюючи терміновість і важливість захисту коду програмного забезпечення з відкритим вихідним кодом (OSS), який оприлюднений і вільно доступний для розповсюдження, модифікації, перегляду та спільного використання.

«Останнім часом екосистема з відкритим кодом перебуває в облозі», — сказав Девід Вілер, директор із безпеки ланцюга поставок із відкритим кодом у Linux Foundation.
Подія
MetaBeat 2022

4 жовтня в Сан-Франциско, штат Каліфорнія, MetaBeat збере лідерів думок, щоб порадити, як технологія метавсесвіту змінить спосіб спілкування та ведення бізнесу в усіх галузях.
зареєструватися тут
Він зазначив, що атаки не є унікальними для відкритого коду. Лише подивіться на нищівну облогу ланцюга поставок Orion від SolarWinds, який є закритою системою. Зрештою, «нам потрібно захистити все програмне забезпечення, включаючи екосистему з відкритим кодом».
Критична ситуація для open source
Згідно зі звітом Linux Foundation, технологічні лідери добре усвідомлюють цей факт, але повільно вживають заходів безпеки для відкритого коду.

Серед результатів:
Лише 49% організацій мають політику безпеки, яка охоплює розробку або використання (OSS). 59% організацій кажуть, що їхні OSS є відносно безпечними або дуже безпечними. Лише 24% організацій впевнені в безпеці своїх прямих залежностей.
Крім того, згідно зі звітом, у середньому програми мають принаймні п’ять невирішених критичних уразливостей.

Приклад: системні проблеми, які призвели до інциденту Log4Shell. Уразливість програмного забезпечення в Apache Log4j, популярній бібліотеці Java для реєстрації повідомлень про помилки в програмах, була складною та широко поширеною, вражаючи приблизно 44% корпоративних мереж у всьому світі. І це все ще впливає на бізнес сьогодні.

Як наслідок, у нещодавньому звіті Комісії з аналізу кібербезпеки зазначено, що Log4j став «ендемічною вразливістю», яку використовуватимуть роками.

Тим часом Агентство з кібербезпеки та безпеки інфраструктури (CISA) нещодавно оголосило, що версії популярного пакета NPM «ua-parser-js» містять шкідливий код. Пакет використовується в програмах і на веб-сайтах, щоб визначити тип пристрою або браузера, який використовується. Зламані комп’ютери або пристрої можуть дозволити віддаленим зловмисникам отримати конфіденційну інформацію або взяти під контроль систему.

Зрештою, коли вразливість оприлюднена в OSS, зловмисники використовуватимуть цю інформацію для дослідження системи...

Стартапи Aug 18, 2022 0 34 Add to Reading List

Не залишайте відкритий код відкритим для вразливостей

Не змогли відвідати Transform 2022? Перегляньте всі сесії саміту в нашій бібліотеці за запитом! Подивіться сюди.

Програмне забезпечення з відкритим кодом стало основою цифрової економіки: воно становить приблизно 70–90% усього сучасного програмного забезпечення.

Але хоча він має багато переваг (він придатний для співпраці, масштабований, гнучкий і економічно ефективний), він також пронизаний вразливими місцями та іншими відомими та ще невідомими проблемами безпеки. Враховуючи вибух у його прийнятті, він становить значний ризик для організацій на всіх рівнях.

Виникаючі проблеми посилюють традиційні вразливості та ризики ліцензування, підкреслюючи терміновість і важливість захисту коду програмного забезпечення з відкритим вихідним кодом (OSS), який оприлюднений і вільно доступний для розповсюдження, модифікації, перегляду та спільного використання.

«Останнім часом екосистема з відкритим кодом перебуває в облозі», — сказав Девід Вілер, директор із безпеки ланцюга поставок із відкритим кодом у Linux Foundation.

Подія

MetaBeat 2022

4 жовтня в Сан-Франциско, штат Каліфорнія, MetaBeat збере лідерів думок, щоб порадити, як технологія метавсесвіту змінить спосіб спілкування та ведення бізнесу в усіх галузях.

зареєструватися тут

Він зазначив, що атаки не є унікальними для відкритого коду. Лише подивіться на нищівну облогу ланцюга поставок Orion від SolarWinds, який є закритою системою. Зрештою, «нам потрібно захистити все програмне забезпечення, включаючи екосистему з відкритим кодом».

Критична ситуація для open source

Згідно зі звітом Linux Foundation, технологічні лідери добре усвідомлюють цей факт, але повільно вживають заходів безпеки для відкритого коду.

Серед результатів:

Лише 49% організацій мають політику безпеки, яка охоплює розробку або використання (OSS). 59% організацій кажуть, що їхні OSS є відносно безпечними або дуже безпечними. Лише 24% організацій впевнені в безпеці своїх прямих залежностей.

Крім того, згідно зі звітом, у середньому програми мають принаймні п’ять невирішених критичних уразливостей.

Приклад: системні проблеми, які призвели до інциденту Log4Shell. Уразливість програмного забезпечення в Apache Log4j, популярній бібліотеці Java для реєстрації повідомлень про помилки в програмах, була складною та широко поширеною, вражаючи приблизно 44% корпоративних мереж у всьому світі. І це все ще впливає на бізнес сьогодні.

Як наслідок, у нещодавньому звіті Комісії з аналізу кібербезпеки зазначено, що Log4j став «ендемічною вразливістю», яку використовуватимуть роками.

Тим часом Агентство з кібербезпеки та безпеки інфраструктури (CISA) нещодавно оголосило, що версії популярного пакета NPM «ua-parser-js» містять шкідливий код. Пакет використовується в програмах і на веб-сайтах, щоб визначити тип пристрою або браузера, який використовується. Зламані комп’ютери або пристрої можуть дозволити віддаленим зловмисникам отримати конфіденційну інформацію або взяти під контроль систему.

Зрештою, коли вразливість оприлюднена в OSS, зловмисники використовуватимуть цю інформацію для дослідження системи...