Black Duck Software på onsdag udgivet sin 2017 Open Source Security og Risk Analyse, der beskriver væsentlige tværfaglige risici, der er relateret til open source sårbarheder og licens overensstemmelse udfordringer.
Black Duck gennemført revisioner af mere end 1,071 open source-programmer til undersøgelse sidste år. Der er store svagheder i håndteringen af open source sårbarhed, risici på tværs af de vigtigste industrier, revision vis.
Open source sikkerhedshuller, der udgør den største risiko for at e-handel og finansielle teknologier, i henhold til Black Duck ‘ s rapport.
Open source-brug er allestedsnærværende i hele verden. Det skønnes at 80 procent til 90 procent af den kode, der i dag er software-programmer er open source, bemærkes, Black And CEO Lou Shipley.
Open source sænker dev omkostninger, accelererer innovation og hastighed til markedet. Men der er en bekymrende grad af manglende effektivitet i håndteringen af risici relateret til open source-sikkerhedsproblemer, sagde han.
“Fra sikkerhed siden, at 96 procent af de programmer der bruger open source,” bemærkede Mike Pittenger, vice president for sikkerhedsstrategi på Black Duck Software.
“Den anden store ændring, vi ser, er mere open source, er samlet i kommerciel software,” fortalte han LinuxInsider.
Open source revisionsresultater skal være alarmerende, at sikkerhed ledere. Applikationslaget er et primært mål for hackere. Således kan open source exploits er den største anvendelse sikkerhed risiko for, at de fleste virksomheder har, sagde Shipley.
Forståelse Rapporten
Rapporten, med titlen “2017 Open Source Security og Risk Analyse,” kan være en smule misvisende. Det er ikke en isoleret se på open source software. Det er snarere en integreret vurdering af den open source kode, der sameksisterer med proprietære kode i programmer.
“Rapporten beskæftiger sig udelukkende med kommercielle produkter,” sagde Pittenger. “Vi synes, det kører skævt resultaterne en smule, i og med at det er et tilbagestående indikator for, hvordan open source bruges. I nogle tilfælde, den software, der blev udviklet i tre, fem eller 10 år siden.”
Rapporten giver en grundig kig på tilstanden af open source-sikkerhed, overholdelse, og koden kvalitet risiko i kommerciel software. Det undersøger resultaterne fra de anonyme data af mere end 1.000 kommercielle programmer revideres i 2016.
Black Duck ‘ s tidligere open source sårbarhed rapport, der var baseret på de revisioner, som kun involverer et par hundrede kommercielle programmer, i forhold til 1,071 software programmer revideres for den aktuelle undersøgelse.
“Anden runde af revisioner, der viser en forbedring af situationen for, hvordan open source er håndteret. Alder sårbarheder sidste år var over fem år i gennemsnit. Dette år, at alder af sårbarhed faktor kom ned til fire år. Stadig, det er en temmelig stor forbedring i forhold til sidste år,” Pittenger sagde.
Bevidsthed Forbedring
Gennem sin forskning, Sort Duch har til formål at bidrage til udvikling teams til bedre at forstå open source-sikkerhed og licens risiko landskab. Dens rapport indeholder anbefalinger til at hjælpe virksomheder med at mindske deres sikkerhed og juridiske risici.
“Der er en øget bevidsthed. Flere mennesker er klar over, at de er nødt til at begynde at spore sårbarheder, og hvad der er i deres software,” sagde Pittenger.
Black Duck udfører hundredvis af open source-kode revision hvert år, der er målrettet fusion og overtagelse transaktioner. Dens Center for Open Source Forskning og Innovation (COSRI) viste både høje niveauer af open source bruge og er en stor risiko for open source sikkerhedshuller.
Halvfems-seks procent af de analyserede kommercielle applikationer, der er indeholdt open source-kode, og mere end 60 procent, der er indeholdt open source sikkerhedshuller, viser rapporten.
Alle de målrettede software kategorier, der blev vist sig at være sårbare over for sikkerhedshuller.
For eksempel resultaterne af revisionen af ansøgninger fra den finansielle sektor i gennemsnit 52 open source sårbarheder pr ansøgning, og 60 procent af de ansøgninger, der blev fundet at have en høj-risiko sårbarheder.
Revisionen afslørede endnu værre sikkerhed risici for detailhandel og e-handel, industri, som har den højeste andel af programmer med høj-risiko open source sårbarheder. Firs procent af de reviderede programmer, der er indeholdt høj-risiko sårbarheder.
Rapport Åbenbaringer
Status for open source software licenser kan være endnu mere bekymrende — forskning udsat for omfattende konflikter. Mere end 85 procent af ansøgningerne revideret havde open source-komponenter med licens udfordringer.
Black Duck ‘ s rapport, der bør tjene som et wake-up call, i betragtning af den udbredte brug af open source-kode. De revisioner, der viser, at kun meget få udviklere gør en passende job af at opdage, sanering og overvågning af open source-komponenter og sårbarheder i deres programmer, der er observeret Chris Fearon, direktør for Black And Open Source Security Research Group, COSRI sikkerhed forskning arm.
“Resultaterne af COSRI analyse viser tydeligt, at organisationer i alle brancher, der har en lang vej at gå, før de er effektive håndtering af deres open source,” Fearon sagde.
Brugen af open source software er en væsentlig del af udviklingen af applikationer. Nogle af 96 procent af de scannede programmer, der anvendes open source kode. Den gennemsnitlige app i prisen 147 unikke open source-komponenter.
I gennemsnit sårbarheder, der er identificeret i den reviderede ansøgninger var blevet offentligt kendt i mere end fire år, ifølge rapporten. Mange almindeligt anvendte infrastruktur-komponenter, der er indeholdt høj-risiko sårbarheder.
Selv versioner af Linux-Kernen, PHP, MS .Net Framework, og Ruby on Rails blev fundet at have sårbarheder. I gennemsnit programmer, der er indeholdt 27 sårbare open source-komponenter.
Stor Bekymring
Mange af de punkter, Sort Duck ‘ s rapport fremhæves det er gamle problemer, der ikke har registreret en negativ indvirkning på open source i særlig stor grad, der er observeret Charles King, der er ledende analytiker hos Pund-IT.
“Resultaterne er helt sikkert om, både i de svagheder, de refererer til i open source-udvikling, og hvordan disse sårbarheder kan udnyttes af forskellige dårlig aktører,” fortalte han LinuxInsider.
Med sikkerhed trusler vokser i størrelse og kompleksitet, open source-udviklere bør overveje, hvor godt de bliver serveret ved traditionelle metoder, King tilføjet.
Ulovlig Kode
Ulovlig brug af open source software er udbredt, ifølge rapporten, som kan tilskrives urigtig forestilling om, at noget open source kan anvendes uden at overholde licenser.
Halvtreds procent af de scannede programmer var “ukendt” licenser, ifølge rapporten. Med andre ord, ingen havde opnået tilladelse fra kode creator til at bruge, ændre eller dele af softwaren.
Den reviderede programmer, der er indeholdt i gennemsnit 147 open source-komponenter. Tracking tilhørende licens, forpligtelser og spotte konflikter uden automatiserede processer på plads, ville være umuligt, ifølge rapporten.
85 procent af de undersøgte programmer, der er indeholdt komponenter med konflikter, oftest overtrædelser af General Public License, eller GPL. Tre fjerdedele af de programmer, der er indeholdt komponenter under GPL-familien af oracle-licenser. Kun 45 procent af dem, der var i overensstemmelse.
Open source er blevet fremtrædende i udviklingen, ifølge en nylig Forrester Research rapport refereres til af Black Duck.
Brugerdefineret kode, der består kun 10-20 procent af applikationer, Forrester-undersøgelsen fundet.
Virksomheder Ignorerer Sikkerhed
Software-udviklere og IT-medarbejdere, der bruger open source-kode undlader at tage de nødvendige skridt til at beskytte ansøgninger fra sårbarheder, i henhold til Black Duck rapport. Selv når de bruger den indre sikkerhed programmer og installere sikkerhedsopdateringer testværktøjer som statisk analyse og dynamisk analyse, de går glip af koden.
Disse værktøjer er nyttige ved identifikation af fælles kodning fejl, der kan resultere i, at spørgsmål om sikkerhed, men de samme værktøjer, der har vist sig at være ineffektiv på at identificere sårbarheder, at indtaste koden via open source-komponenter, advarer betænkningen.
For eksempel, mere end 4 procent af de testede programmer havde Pudlen sårbarhed. Mere end 4 procent havde Freak, og mere end 3,5 procent havde Drukne. Mere end 1,5 procent af den kode baser havde stadig Heartbleed sårbarhed — mere end to år efter at det blev offentliggjort, Sort Duck revisioner, der er fundet.
Anbefalede Handlinger
Nogle 3,623 nye open source-komponent sårbarheder blev rapporteret sidste år-næsten 10 sårbarheder per dag i gennemsnit, en 10 procent stigning fra tidligere år.
Det gør behovet for en mere effektiv open source-sikkerhed og ledelse mere kritisk end nogensinde. Det gør også behovet for større indblik i og kontrol af open source i brug mere afgørende. Registrering og udbedring af sikkerhedsproblemer bør være en høj prioritet, konkluderer rapporten.
Black Duck audit rapport anbefaler, at organisationer vedtage følgende open source management praksis:
- tag en fuld opgørelse af open source software;
- kort open source kendte sikkerhedshuller;
- identificere licens og kvalitet risici;
- håndhæve open source-risiko-politikker, og
- overvåge for nye sikkerhedstrusler.
Jack M. Germain har været en ECT News Network reporter siden 2003. Hans vigtigste områder, hvor fokus er på virksomhedens IT -, Linux-og open source-teknologier. Han har skrevet en lang række anmeldelser af Linux-distributioner og andre open source-software.
E-Mail Jack.