Revista si suplimente
MarketWatch
Inapoi Inainte

Un mit pus în pericol

23 Mai 2018



Socotite până de curând cele mai sigure din lume, codurile open source pentru zona de dezvoltare software de afaceri par a deveni din ce în ce mai riscante.

Un raport dat recent publicităţii şi intitulat 2018 Open source security and risk analysis arată că, pe măsură ce rata de adopţie a software-ului open source se accelerează, vulnerabilităţile şi conflictele legate de licenţieri se accentuează într-un ritm extrem de rapid. Raportul Black Duck by Synopsys se bazează pe analizarea datelor anonimizate provenind de la peste 1100 de coduri-sursă comerciale auditate în cursul anului 2017 într-un număr de nouă sectoare industriale, între care se numără industria auto, cea de cibersecuritate, serviciile financiare şi sănătatea.
Raportul evidenţiază un impuls masiv în sensul adopţiei open source, peste 95% din aplicaţiile scanate conţinând elemente open source. Datele colectate arată, de asemenea, că numărul mediu de elemente open source descoperite per aplicaţie (257) a crescut cu 75% comparativ cu anul precedent, multe dintre aplicaţii conţinând acum mai mult cod open source decât cod proprietar.
Conform raportului, este îngrijorător faptul că 78% din codurile-sursă examinate conţineau cel puţin o vulnerabilitate open source, înregistrându-se în medie un număr de 64 de vulnerabilităţi per cod. Peste 50% din vulnerabilităţile descoperite în codurile examinate sunt considerate vulnerabilităţi de risc ridicat.
Mai mult, o treime din codurile auditate care conţineau vulnerabilitatea cunoscută Apache Struts conţineau, de asemenea, vulnerabilitatea care genera deja celebra problemă Equifax, în vreme ce 17% conţineau vulnerabilităţi deja larg mediatizate precum Heartbleed, Logjam, Freak, Drown sau Poodle. Referindu-se la importanţa unor asemenea descoperiri, autorii raportului declară în introducere,că „de vreme ce software-ul şi infrastructurile moderne depind din ce în ce mai mult de tehnologii open source, obţinerea unei imagini clare asupra componentelor folosite reprezintă un element cheie al guvernanţei corporatiste. Raportul demonstrează fără tăgadă că odată cu intensificarea utilizării open source, organizaţiile vor trebui să se asigure că dispun de instrumentele de detectare a vulnerabilităţilor componentelor open source şi de gestionare a oricăror potenţiale conflicte de licenţiere generate de folosirea aplicaţiilor open source.”

Vulnerabilități extinse
Au fost descoperite componente open source vulnerabile practic în toate sectoarele industriale. Cele mai mari procentaje s-au înregistrat în sectorul serviciilor Internet şi al infrastructurilor software, aproape 70% din aplicaţiile testate conţinând vulnerabilităţi open source de risc ridicat. Ca o ironie, raportul susţine că peste 40% din aplicaţiile folosite în sectorul de securitate informatică au fost descoperite ca având vulnerabilităţi open source de mare risc, fapt care transformă acest sector în al patrulea pe o scară ierarhică din punct de vedere al riscurilor.
Raportul mai arată că organizaţiile se complac în a permite acumularea unui număr tot mai mare de vulnerabilităţi în codurile sursă ale aplicaţiilor folosite. În medie, vulnerabilităţile identificate în cadrul auditărilor au fost dezvăluite public cu cel puţin şase (!) ani în urmă. De pildă, atunci când fenomenul Equifax a devenit posibil prin intermediul vulnerabilităţii Apache Struts, firmele au început să afirme că au nevoie urgentă de soluţii de management al securităţii open source. Cu toate astea, chiar dacă fenomenul a fost făcut public la nivel global în martie 2017, multe organizaţii par, conform raportului, să nu-şi fi verificat nici acum aplicaţiile pentru a vedea dacă au sau nu vulnerabilitatea Struts.
Rezultatele studiului mai arată că aproape trei pătrimi din codurile sursă folosite în aplicaţii de organizaţii conţin elemente de conflict de licenţiere, cele mai multe fiind încălcări ale acordului de licenţiere publică (GPL). Procentajele aplicaţiilor cu conflicte de licenţiere pe sectoare industriale variază de la nivelul relativ mai scăzut, de 60%, înregistrat în sectorul de comerţ cu amănuntul şi cel de comerţ electronic, la nivele uluitoare de 100% în sectorul de telecomunicaţii şi wireless.
Conform raportului, pe măsură ce se schimbă peisajul codurilor folosite în aplicaţii, devine tot mai imperioasă nevoia de evoluţie a programelor de securitate aplicaţii ale organizaţiilor pentru ca acestea să continue să fie eficiente. Din nefericire, nu există o tehnică unicat care să descopere fiecare vulnerabilitate, aşa că în plus faţă de analiza statică şi dinamică a codurilor sursă, organizaţiile trebuie să se asigure că instrumentele de analiză a compoziţiei software (SCA) se regăsesc permanent în instrumentarul de securitate utilizat.
„Prin adăugarea instrumentelor SCA, organizaţiile pot detecta cu mai mare eficienţă vulnerabilităţile din componentele open source şi pot gestiona eficient orice fel de cerinţă de conformare legată de licenţiere”, se mai scrie în raport. Prin integrarea politicilor, proceselor şi soluţiilor de automatizare în cadrul ciclului de dezvoltare software pentru identificarea, gestionarea şi securizarea aplicaţiilor open source, organizaţiile ar putea să maximizeze beneficiile open source, prin gestionarea eficientă a vulnerabilităţilor şi riscurilor legate de licenţieri.



Tags: Open Source

Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite