Black Duck Programvara på onsdagen släppte sin 2017 Open Source-Säkerhet och riskanalys, med utförliga uppgifter om betydande branschöverskridande risker relaterade till open source sårbarheter och license compliance utmaningar.
Black Duck revisioner av mer än 1,071 open source program för studie förra året. Det finns omfattande brister i hanteringen av öppen källkod säkerhetsproblem risker inom viktiga branscher, som granskningarna visar.
Öppen källkod säkerhetsproblem utgör den största risken för att e-handel och finansiella teknik, enligt Black Duck ‘ s rapport.
Öppen källa är utbrett över hela världen. Uppskattningsvis 80 procent till 90 procent av kod i dagens program är open source, konstaterade Black Duck VD Lou Shipley.
Öppen källkod sänker dev kostnader, snabbare innovation, och det går fortare att marknadsföra. Men det är en oroande nivå brister i hanteringen av risker relaterade till open source-säkerhetsproblem, sade han.
“Från security sida, 96 procent av program med öppen källkod”, konstaterar Mike Pittenger, vice vd för säkerhet, strategi i Black Duck Programvara.
“Den andra stora förändringar som vi ser är mer öppen källa är paketerat i kommersiell programvara”, sa han till LinuxInsider.
Öppen källkod granskningen bör vara alarmerande att säkerhet befattningshavare. Applikationslagret är ett primärt mål för hackare. Alltså, öppen källkod bedrifter är den största ansökan säkerhetsrisk att de flesta företag har, sade Shipley.
Förståelse Rapporten
Betänkandets titel, “2017 Open Source-Säkerhet och riskanalys,” kan vara lite missvisande. Det är inte en isolerad titt på öppen källkod. Det är snarare en integrerad bedömning av öppen källkod som samexisterar med egen kod i program.
“Rapporten behandlar enbart kommersiella produkter”, säger Pittenger. “Vi anser att det snedvrider resultaten lite, i och med att det är en eftersläpande indikator på hur öppen källkod som används. I vissa fall, programvaran som har utvecklats inom tre, fem eller 10 år sedan.”
Rapporten ger en fördjupad titt på läget på öppen källkod säkerhet, regelefterlevnad, och kod-kvalitet risk i kommersiell programvara. Man undersöker resultaten från de anonymiserade data av mer än 1 000 kommersiella tillämpningar granskade 2016.
Black Duck ‘ s tidigare öppen källkod sårbarhet rapporten baserades på revisioner med endast några hundra kommersiella tillämpningar, jämfört med den 1,071 program granskade för den aktuella studien.
“Den andra omgången av granskningar visar en förbättring av situationen för hur öppen källkod hanteras. Ålder sårbarheter förra året var över fem år i genomsnitt. Detta år, den ålder sårbarhet faktor kom ner till fyra år. Fortfarande, det är en ganska stor förbättring jämfört med förra året,” Pittenger sagt.
Medvetenhet Förbättra
Genom sin forskning, Black Dutch syftar till att bidra till utvecklingen lag bättre förstå öppen källkod säkerhet och licens risk landskapet. Rapporten innehåller rekommendationer för att hjälpa organisationer att minska sin säkerhet och legala risker.
“Det finns en ökad medvetenhet. Fler människor är medvetna om att de måste börja spåra sårbarheter och vad som finns i deras program”, säger Pittenger.
Black Duck bedriver hundratals öppen källkod revisioner per år som mål fusioner och förvärv transaktioner. Center for Open Source Forskning och Innovation (COSRI) visade både höga nivåer av öppen källkod använda och betydande risk från open source säkerhetsproblem.
Nittiosex procent av de analyserade kommersiella tillämpningar som finns med öppen källkod, och mer än 60 procent som öppen källkod säkerhetsproblem, visar rapporten.
Alla riktade programvara kategorier som visat sig vara sårbara för säkerhetsbrister.
För exempel på resultat från revision av program från den finansiella sektorn i genomsnitt 52 öppen källkod sårbarheter per ansökan, och 60 procent av de ansökningar som ansågs ha hög risk sårbarheter.
Granskningen avslöjade ännu värre säkerhet risker för detaljhandel och e-handel branschen, som hade den högsta andelen ansökningar med hög risk öppen källkod sårbarheter. Åttio procent av de granskade program som finns hög risk sårbarheter.
Rapport Uppenbarelser
Status för öppen källkod-licenser kan vara ännu mer oroande — forskning med utsatta utbredda konflikter. Mer än 85 procent av ansökningarna granskades hade open source-komponenter med licens utmaningar.
Black Duck rapport ska fungera som ett wake-up call, med tanke på den utbredda användningen av öppen källkod. De granskningar som visar att väldigt få utvecklare gör tillräckligt för att upptäcka, sanera och övervakning av komponenter med öppen källkod och sårbarheter i sina program, observerade Chris Fearon, chef för Black Duck ‘ s Open Source Security Research Group, COSRI säkerhet forskning arm.
“Resultaten av COSRI analys som tydligt visar att organisationer i alla branscher har en lång väg att gå innan de är ett effektivt sätt att hantera sina öppen källkod”, Fearon sagt.
Användning av programvara med öppen källkod är en viktig del av applikationsutveckling. Omkring 96 procent av skannade program som används öppen källkod. Den genomsnittliga app ingår 147 unika komponenter med öppen källkod.
I genomsnitt, sårbarheter identifieras i de granskade ansökningar hade varit allmänt känt i mer än fyra år, enligt rapporten. Många som ofta används delar av infrastrukturen som finns hög risk sårbarheter.
Även versioner av Linux-Kärnan, PHP, MS .Net Framework, och Ruby on Rails befanns ha brister. I genomsnitt för de appar som finns 27 sårbara komponenter med öppen källkod.
Stora Problem
Många av de punkter som Black Duck rapport betonas är långvariga problem som inte har registrerat en negativ inverkan på öppen källkod i någon större utsträckning, iakttas Charles King, förste analytiker på Pund-IT.
“Resultaten är verkligen gäller, såväl i de svagheter som de led i utveckling av öppen källkod och hur de sårbarheter som finns och kan utnyttjas av olika dåliga skådespelare”, sade han LinuxInsider.
Med säkerhetshot som växer i storlek och komplexitet, open source utvecklare bör tänka på hur bra de är på att betjänas av traditionella metoder, King lagt till.
Olagliga Registret Använda
Olaglig användning av programvara med öppen källkod är vanliga, enligt rapporten, vilket kan hänföras till den felaktiga uppfattningen att något öppen källkod kan användas utan att ansluta sig till tillståndskraven.
Femtiotre procent av skannade program hade “okänd” licenser, enligt rapporten. Med andra ord, ingen hade fått tillåtelse från koden skapare att använda, ändra eller dela programmet.
Den granskade ansökningar innehöll i genomsnitt 147 open source-komponenter. Spårning tillhörande licens skyldigheter och spotting konflikter utan automatiserade processer på plats skulle vara omöjligt, enligt rapporten.
Cirka 85 procent av de granskade program som ingår komponenter med konflikter, oftast kränkningar av General Public License, GPL eller. Tre fjärdedelar av de program som ingår komponenter under GPL familj av licenser. Endast 45 procent av dem var i överensstämmelse.
Open source har blivit framstående inom applikationsutveckling, enligt en färsk Forrester Research rapport som refereras av Black Duck.
Anpassad kod bestod endast av 10-20 procent av ansökningarna, Forrester studie fann.
Företag Ignorera Säkerhet
Mjukvaruutvecklare och IT-personal som använder öppen källkod misslyckas med att vidta nödvändiga åtgärder för att skydda applikationer mot säkerhetsrisker, enligt Black Duck rapport. Även när de använder inre säkerhet program och distribuera säkerhetsuppdateringar testverktyg som statisk analys och dynamiska analyser, missar de utsatta kod.
Dessa verktyg är användbara på att identifiera gemensamma kodning fel som kan resultera i säkerhetsfrågor, men samma verktyg har visat sig vara ineffektiva på att identifiera sårbarheter som kommer in koden genom open source-komponenter, den rapporten varnar för.
Till exempel, mer än 4 procent av de testade program hade Pudel sårbarhet. Mer än 4 procent hade Freak, och mer än 3,5 procent hade Drunkna. Mer än 1,5 procent av kod grunder fortfarande hade Heartbleed sårbarhet — mer än två år efter det att offentliggöras, Black Duck revisioner som finns.
Rekommenderade Åtgärder
Vissa 3,623 nya öppen källkod-komponent sårbarheter rapporterades förra året-nästan 10 sårbarheter per dag i snitt, en ökning med 10 procent från föregående år.
Det gör behovet av en mer effektiv och öppen källkod säkerhet och hantering av mer avgörande än någonsin. Det gör också att behovet av en större insyn i och kontroll av öppen källkod och använda mer viktigt. Identifiering och sanering av säkerhetsproblem bör vara en prioriterad fråga, konstaterar rapporten.
Black Duck revisionsrapport rekommenderar att organisationer anta följande open source management metoder:
- ta en fullständig inventering av programvara med öppen källkod;
- karta öppen källkod till kända säkerhetsproblem;
- identifiera licens och kvalitet risker.
- tillämpa öppen källkod risk politik; och
- övervaka för nya hot mot säkerheten.
Jack M. Germain har varit en ECT News Network reporter sedan 2003. Hans huvudsakliga fokusområden är företagets IT, Linux och öppen källkod. Han har skrivit många recensioner av Linux-distributioner och andra open source-programvara.
E-Jack.