Black Duck Programvare på onsdag lanserte sin 2017 Åpen Kildekode Sikkerhet og risikoanalyse, detaljering betydelig kryss-bransjen risiko knyttet til åpen kildekode-sårbarheter og lisens compliance utfordringer.
Black Duck gjennomført revisjoner av mer enn 1,071 åpen kildekode-programmer for studien siste året. Det er utbredt svakheter i arbeidet med åpen kildekode sikkerhet sårbarhet risiko over viktige næringer, revisjon vis.
Åpen kildekode sikkerhetsproblemer utgjør den høyeste risiko for e-handel og financial technologies, i henhold til Black Duck ‘ s rapport.
Åpen kildekode bruk er utbredt over hele verden. Anslagsvis 80 prosent til 90 prosent av koden i dagens programvare er åpen kildekode, bemerket Black Duck administrerende DIREKTØR Lou Shipley.
Åpen kildekode senker dev kostnader, akselererer innovasjon, og hastigheter tid til marked. Det er imidlertid et problematisk nivå av ineffektivitet i håndteringen av risiko knyttet til åpen kildekode-sikkerhetsproblemer, sa han.
“Fra sikkerhet side, 96 prosent av programmene som bruker åpen kildekode,” bemerket Mike Pittenger, vice president for sikkerhet strategi på Black Duck Programvare.
“Den andre store endringen som vi ser er mer åpen kildekode er samlet inn kommersiell programvare,” fortalte han LinuxInsider.
Åpen kildekode revisjon bør være alarmerende til sikkerhet ledere. Applikasjonslaget er et primært mål for hackere. Dermed, åpen kildekode utnyttelser er den største application security risiko for at de fleste bedrifter har, sa Shipley.
Forstå Rapport
Rapporten har tittelen, “2017 Åpen Kildekode Sikkerhet og risikoanalyse,” kan være litt misvisende. Det er ikke en isolert ser på åpen kildekode. Snarere er det en integrert vurdering av åpen kildekode som coexists med egen kode i programmer.
“Rapporten omhandler utelukkende med kommersielle produkter,” sa Pittenger. “Vi tror det går skjevt resultatene litt, i og med at det er en lagging indikator på hvordan åpen kildekode er brukt. I noen tilfeller, programvaren ble utviklet innenfor tre, fem eller 10 år siden.”
Rapporten gir en grundig titt på state of open source sikkerhet, samsvar, og kode-kvalitet risiko i kommersiell programvare. Den tar for seg funn fra anonymiserte data på mer enn 1.000 kommersielle programmer revidert i 2016.
Black Duck tidligere åpen kildekode sårbarhet rapporten var basert på revisjoner som involverer bare et par hundre kommersielle programmer, i forhold til 1,071 programmer revidert for den aktuelle studien.
“Den andre runden av revisjoner viser en forbedring av situasjonen for hvordan åpen kildekode er håndtert. I en alder av sårbarheter i fjor var over fem år i gjennomsnitt. Dette året, som alder av sårbarhet faktor kom ned til fire år. Likevel, det er en ganske stor forbedring i forhold til i fjor,” Pittenger sa.
Bevissthet Forbedre
Gjennom sin forskning, Svart Duch har som mål å bidra til utvikling lagene bedre forstå åpen kildekode sikkerhet og lisens risiko landskapet. Rapporten inneholder anbefalinger for å hjelpe organisasjoner med å redusere deres sikkerhet og juridisk risiko.
“Det er økt bevissthet. Flere mennesker er klar over at de er nødt til å starte sporing av sårbarheter og hva som er i deres programvare,” sa Pittenger.
Black Duck gjennomfører hundrevis av åpen kildekode revisjoner årlig som mål fusjon og oppkjøp transaksjoner. Dens Senter for Åpen Kilde, Forskning og Innovasjon (COSRI) avslørte både høye nivåer av åpen kildekode bruk og betydelig fare fra åpen kildekode-sikkerhetsproblemer.
Seks og nitti prosent av den analyserte kommersielle programmer som finnes åpen kildekode, og mer enn 60 prosent inneholdt åpen kildekode sikkerhetsproblemer, viser rapporten.
Alle målrettet programvare kategorier ble vist å være sårbare for sikkerhetshull.
For eksempel, revisjon resultater av programmer fra finansnæringen gjennomsnittlig 52 open source sårbarheter per program, og 60 prosent av søknadene ble vurdert til å ha høy risiko og sårbarheter.
Revisjonen avslørt enda verre sikkerhetsrisikoer for detaljhandel og e-handel industri, som hadde den høyeste andelen av programmer med høy-risiko open source sårbarheter. Åtti-tre prosent av revidert programmene som finnes høy risiko for sikkerhetsbrudd.
Rapporten Åpenbaringer
Status for åpen kildekode-lisenser kan være enda mer problematisk — forskningen utsatt for omfattende konflikter. Mer enn 85 prosent av søknadene revidert hadde åpen kilde-komponenter med lisens utfordringer.
Black Duck ‘ s rapport bør tjene som en oppvekker, tatt i betraktning den utstrakte bruken av åpen kildekode. Revisjonene viser at svært få utviklerne gjør en god jobb med å oppdage, remediating og overvåking av åpen kilde-komponenter og sårbarheter i sine programmer, observert Chris Fearon, leder av Black Duck er Åpen Kildekode Sikkerhet Research Group, COSRI sikkerhet forskning arm.
“Resultatene av COSRI analyse tydelig viser at organisasjoner i alle bransjer har en lang vei å gå før de er effektivt administrere deres åpen kildekode,” Fearon sa.
Bruk av programvare med åpen kildekode er en viktig del av programmet utvikling. Noen 96 prosent av skannede programmer brukt åpen kildekode. Gjennomsnittlig app inkludert 147 unik, åpen kilde-komponenter.
I gjennomsnitt sikkerhetsproblemer som ble identifisert i revidert programmer hadde vært offentlig kjent i mer enn fire år, ifølge rapporten. Mange brukte infrastruktur komponenter som finnes i høy-risiko og sårbarheter.
Selv versjoner av Linux-Kjernen, PHP, MS .Net Framework, og Ruby on Rails ble funnet å ha sårbarheter. I gjennomsnitt apps inneholdt 27 sårbare åpen kildekode-komponenter.
Betydelige Bekymringer
Mange av punktene Black Duck ‘ s rapport høydepunkter er langvarige problemer som ikke har registrert en negativ innvirkning på åpen kildekode til noen stor grad, sa Charles King, rektor analytiker ved Pund-DET.
“Funnene er sikkert om, både i svakheter de peker til, i åpen kildekode-utvikling og hvordan disse sikkerhetsproblemene, er og kan bli utnyttet av ulike dårlige skuespillere,” fortalte han LinuxInsider.
Med sikkerhetstrusler vokser i størrelse og kompleksitet, åpen kildekode-utviklere bør vurdere hvor godt de blir servert av tradisjonelle metoder, King lagt til.
Ulovlig Bruk Kode
Ulovlig bruk av programvare med åpen kildekode er utbredt, ifølge rapporten, noe som kan tilskrives den feilaktige forestillingen om at noe åpen kildekode kan brukes uten å overholde krav til lisensiering.
Femtitre prosent av skannede programmer hadde “ukjent” lisenser, ifølge rapporten. Med andre ord, ingen hadde fått tillatelse fra kode creator til å bruke, endre eller dele programvaren.
Revidert programmer inneholdt en gjennomsnittlig 147 åpen kildekode-komponenter. Sporing tilknyttet lisens forpliktelser og spotting konflikter uten automatiserte prosesser i stedet ville være umulig, ifølge rapporten.
Rundt 85 prosent av de kontrollerte programmene som finnes komponenter med konflikter, oftest brudd på General Public License, eller GPL. Tre fjerdedeler av de programmene som finnes komponenter under GPL-familien av lisenser. Bare 45 prosent av dem var i samsvar.
Åpen kildekode har blitt fremtredende i program for utvikling, ifølge en fersk Forrester Research rapport er referert til av Black Duck.
Egendefinert kode består bare 10-20 prosent av programmer, Forrester studien fant.
Bedrifter Ignorere Sikkerhet
Software utviklere og IT-medarbeidere som bruker åpen kildekode unnlater å ta de nødvendige skritt for å beskytte programmer mot sikkerhetsproblemer, i henhold til Black Duck rapporten. Selv når de bruker interne sikkerhet-programmer og distribuerer testverktøy som statisk analyse og dynamisk analyse, de går glipp av sårbare kode.
Disse verktøyene er nyttig på å identifisere felles koding feil som kan resultere i sikkerhetsspørsmål, men den samme verktøy har vist seg ineffektiv på å identifisere sikkerhetsproblemer som kommer inn koden gjennom åpen kildekode-komponenter, rapporten advarer.
For eksempel, mer enn 4 prosent av de testede programmene hadde Puddel sårbarhet. Mer enn 4 prosent hadde Freak og mer enn 3,5 prosent hadde Druknet. Mer enn 1,5 prosent av koden baser fortsatt hadde Heartbleed sårbarheten-mer enn to år etter at den ble offentliggjort, Black Duck revisjon funnet.
Anbefalte Tiltak
Noen 3,623 nye åpen kildekode component sårbarheter som ble rapportert i fjor-nesten 10 sårbarheter i gjennomsnitt per dag, en 10 prosent økning fra året før.
Det gjør behovet for mer effektiv åpen kildekode sikkerhet og ledelse mer kritisk enn noen gang. Det gjør også behovet for bedre innsyn i og kontroll av åpen kildekode i bruk mer avgjørende. Deteksjon og utbedring av sikkerhetsproblemer bør være en høyt prioritert, og rapporten konkluderer med.
Black Duck revisjonsrapport anbefaler at organisasjoner vedta følgende open source-administrasjon:
- ta en fullstendig innholdsliste av åpen kildekode-programvare;
- kart åpen kildekode kjente sikkerhetshull;
- identifisere lisens og kvalitet risiko;
- håndheve åpen kildekode risiko politikk; og
- overvåke for nye sikkerhetstrusler.
Jack M. Germain har vært en ECT Nyheter Network reporter siden 2003. Hans viktigste fokusområder er IT -, Linux og åpen kildekode-teknologier. Han har skrevet en rekke anmeldelser av Linux-distroer og andre open source programvare.
E-Jack.