Perusahaan IT mangrupikeun anu munggaran nganut open source, sareng seueur usaha ageung anu nuturkeun. Barina ogé, kamampuan ngagunakeun deui sareng ngarobih kode sacara mandiri sareng ngalereskeun bug nyababkeun inovasi gancang sareng ngirangan biaya.

Tapi open source ogé mibanda sababaraha ciri négatip alamiah – kusabab kabur tanggung jawab pikeun nyieun jeung ngajaga kode. Endor Labs, dibantuan ku leuwih ti 20 CISOs na CTOs ti pausahaan IT utama, undertook analisa sistematis pikeun datang nepi ka luhur 10 daptar résiko ieu.

vulnerabilities dipikawanoh

Résiko anu paling penting anu diidentipikasi nyaéta ayana kerentanan boh dina proyék open source sorangan sareng dina kagumantunganna – nyaéta, komponén open source éksternal anu dianggo dina proyék éta. Kerentanan dina dependensi tiasa nyababkeun masalah kritis pikeun puluhan suite software komérsial ageung, sapertos anu kajantenan ku perpustakaan Apache Log4j anu sederhana (CVE-2021-44228).

Kaamanan: Nyeken aplikasi anjeun sacara teratur pikeun kerentanan – kalebet kerentanan dina kagumantungan langsung sareng henteu langsung. Larapkeun perbaikan anu sayogi langsung. Pikeun ngaoptimalkeun sumber daya perusahaan, patch tiasa diprioritaskeun dumasar kana parah kerentanan anu tangtu sareng kamungkinan eksploitasi dina parangkat lunak anu anjeun anggo.

Bungkusan sah kompromi

Kusabab dugi ka 80% kodeu proyék open source diwariskeun tina proyék-proyék sanés dina bentuk katergantungan éta, sok aya kamungkinan yén komponén pihak katilu anu dianggo dina aplikasi anjeun parantos di-trojan. Ieu tiasa kajantenan nalika pamekar komponén ieu diretas, atanapi sistem distribusi komponénna (nyaéta manajer pakét) kapanggih ngandung kerentanan anu ngamungkinkeun bungkusan dipalsukan. Dina hal ieu, kode jahat pihak katilu dumadakan muncul di jero aplikasi anjeun, anu dina prakna sering dianggo pikeun maok inpormasi atanapi pikeun sagala rupa skéma pengayaan terlarang (spam, panipuan adware, pertambangan).

Kaamanan: Henteu aya metodologi anu dewasa ayeuna pikeun ngajagaan tina ancaman ieu, janten peryogi kombinasi ukuran: sistem manual sareng otomatis pikeun nganalisis kode sumber sareng ngawaskeun gudang; neundeun lokal versi dipercaya komponén; pamakéan Ancaman Intelijen pikeun ngadeteksi serangan misalna dina tahap awal maranéhanana (saméméh maranéhna boga waktu pikeun mangaruhan bungkusan dipaké dina aplikasi open source perusahaan).

Serangan tina “nameake”

Penyerang nyiptakeun bungkusan nganggo nami anu nyarupaan bungkusan anu sah, atanapi nyalin nami pakét anu sah anu ditulis dina basa pamrograman sanés atanapi dipasang dina platform distribusi anu sanés. Ieu nyiptakeun résiko yén pamekar open source anjeun tiasa ngahijikeun pakét “nami” anu jahat tibatan anu asli.

Kaamanan: Maréntahkeun pamekar pikeun waspada. Salaku bagian tina prosedur standar, sateuacan panyebaran, pamekar kedah pariksa kode sumber pakét pikeun kaanehan sapertos fragmen énkripsi dina kode, pangbajak fungsi, sareng anu sanésna. Sareng disarankeun pikeun pariksa tanda tangan digital bungkusan (upami aya).

Kodeu teu dirojong

Pamekar komponén open source, bungkusan sareng aplikasi tiasa mundur dukungan pikeun aranjeunna iraha waé sareng alesan naon waé. Ieu sering kasus sareng bungkusan leutik dikembangkeun ku 1-2 urang. Nalika ieu kajantenan, teu aya anu ngapdet bungkusan pikeun kasaluyuan sareng téknologi anyar atanapi ngaleungitkeun résiko kaamanan inpormasi.

Kaamanan: Assess tingkat kematangan proyék sarta prospek ngembangkeun / rojongan saméméh ngahijikeun kana kode jeung prosés bisnis Anjeun sorangan. Nengetan jumlah pamekar ngajaga proyék jeung frékuénsi release. Pariksa sékrési dukungan jangka panjang (LTS) sareng nalika dileupaskeun. Tapi, pikeun sababaraha proyék stabil, éta normal pikeun sékrési jarang sareng ngan ukur ngalereskeun bug.

software luntur

Ngagunakeun versi heubeul komponén dina proyék ngajadikeun patching leuwih hese. Masalah ieu utamana akut nalika résiko nomer hiji lumangsung: kerentanan dina komponén. Ilaharna, masalah sareng deprecated dependensi timbul nalika versi anyar komponén béda sacara signifikan ti iterasi saméméhna dina watesan sintaksis atawa semantik. Dina skenario ieu, versi heubeul bisa tetep dipaké pikeun taun tanpa apdet kaamanan.

Kaamanan: Pasihan waktos pamekar pikeun damel sareng katergantungan – kalebet refactoring kode anjeun pikeun ngapdet kana vérsi panganyarna tina komponén anu ayeuna dianggo.

kagumantungan untraceable

Kusabab ampir unggal aplikasi ngagunakeun komponén pihak-katilu – anu dina gilirannana ngagunakeun komponén pihak-katilu séjén – ngarah pamekar aplikasi mindeng teu sadar yen komponén tangtu aya dina kode maranéhna. Dina hal ieu, teu dipariksa pikeun sakabéh resiko sejenna dina daptar. Status update, kerentanan sareng seueur deui teu dipikanyaho.

Kaamanan: Ngajaga hiji rinci Software Bill of Bahan (SBOM) kalawan ngagunakeun alat scanning nu bisa ngadeteksi malah kagumantungan dipaké tanpa manajer pakét.

Résiko pangaturan sareng lisénsi

Sanaos open-source, unggal aplikasi sareng pakét open-source hadir sareng lisénsi pamakean sorangan. Résiko timbul upami lisénsina tétéla henteu cocog sareng panggunaan aplikasi pikeun tujuan anu dimaksud, atanapi lisénsi sababaraha komponén aplikasi henteu cocog sareng anu sanés. Ieu oge mungkin yen salah sahiji atawa leuwih komponén kagumantungan ngalanggar hukum lumaku atawa sarat pangaturan ditumpukeun dina pausahaan.

Kaamanan: SBOM sareng alat scanning kode anu disebatkeun kedah dianggo pikeun ngalacak lisénsi sareng istilah lisénsi anu lumaku pikeun aplikasi open source sareng komponén anu dianggo dina perusahaan. Sareng masuk akal pikeun damel sareng departemén hukum pikeun ngembangkeun daptar lisénsi standar anu ditampi ku perusahaan, ngadetailkeun kasaluyuanna sareng tujuan parangkat lunak dianggo. Parangkat lunak anu gaduh lisénsi anu teu cocog atanapi henteu aya lisénsi pisan kedah dipiceun.

software teu dewasa

Ngagunakeun komponén dikembangkeun ku tim immature nyiptakeun sajumlah inconveniences jeung resiko. Masalah anu aya hubunganana sareng parangkat lunak anu henteu dewasa dibasajankeun dokuméntasi kode anu henteu cekap atanapi henteu akurat dugi ka teu stabil sareng operasi anu rawan kasalahan sareng henteuna sakumpulan tés pikeun uji régrési. Naon deui, kode anu teu dewasa langkung dipikaresep pikeun ngalindungan kerentanan kritis. Sadaya ieu ngajadikeun parangkat lunak anu teu dewasa henteu praktis dianggo, sareng ningkatkeun biaya anu aub sareng résiko tina acara kritis sareng downtime.

Kaamanan: Sateuacan nyebarkeun aplikasi atanapi komponén, pastikeun pamekar ngagunakeun prakték pangsaéna ayeuna. Indikator kalebet gaduh dokuméntasi lengkep sareng up-to-date, CI / CD ngalir pikeun nguji régrési, kitu ogé inpormasi lengkep ngeunaan sinyalna tés sareng bahkan jumlah bungkusan anu parantos nganggo komponén anu dipasihkeun.

Parobahan teu disatujuan

Komponén anu dianggo ku aplikasi tiasa robih ku cara anu teu katingali ku pamekarna. Kaayaan ieu tiasa timbul upami komponén diunduh tina server tanpa kontrol versi anu ketat sareng / atanapi ngalangkungan saluran komunikasi anu teu énkripsi, sareng henteu diverifikasi nganggo hashes sareng tanda tangan digital. Dina hal ieu, rakitan aplikasi sacara téoritis tiasa ngahasilkeun hasil anu béda unggal waktos.

Kaamanan: Janten tegas dina ngalaksanakeun prakték pangwangunan anu aman. Salila pangwangunan, make identifiers sumberdaya nu jelas nunjukkeun versi komponén. Salaku tambahan, pariksa komponén anu diunduh nganggo tanda tangan digital. Salawasna nganggo protokol komunikasi aman.

kagumantunganana badag teuing atawa leutik teuing

Ayeuna, pamekar tiasa ngahijikeun komponén kalayan ngan ukur tilu baris kode. Dina waktos anu sami, éta win-win nalika sadaya komponén diwangun ku opat (leutik pisan) garis kode sareng nalika kode anu anjeun hoyong dianggo ngan ukur salah sahiji tina rébuan fitur komponén – sésana henteu dianggo dina perusahaan. aplikasi. Dina hal ieu, pamekar dibebankeun ku ngajaga kagumantungan anu sanés demi fungsionalitas anu sakedik.

Kaamanan: Hindarkeun katergantungan sareng fungsionalitas sakedik; ngamekarkeun fungsionalitas sapertos di jero aplikasi utama.


#Résiko #utama #aplikasi #open #source