Zero
Video: Sonar – Microsoft del nuovo strumento open-source per aiutare gli sviluppatori web di proteggere i loro siti
Questa settimana GitHub lanciato un nuovo servizio per aiutare gli sviluppatori a scovare e risolvere vulnerabili dipendenze in progetti ospitati sul repository di codice.
Il servizio può essere un grande miglioramento per gli sviluppatori che non, per una serie di motivi, di stare al passo con noti difetti biblioteche popolari per Ruby, JavaScript, Java e applicazioni.
Equifax recente violazione, che colpisce 145 milioni di consumatori americani e centinaia di migliaia di Inglesi, è stato il primo esempio di cosa può accadere quando non si riesce a scoprire e patch per una falla nel software open source, che per Equifax è stata Apache Struts, una famosa libreria di Java.
Mentre Equifax dirigenti e il suo team di sicurezza è stata messa alla berlina per la sua sicurezza carenze, l’azienda carenze sono tutt’altro che eccezionale quando si tratta di out-of-data di librerie open-source in agguato in chiave di applicazioni di business.
A seguito di Equifax la divulgazione, nel mese di settembre, UK open-source basato su database delle vulnerabilità operatore Snyk acquisita di 1.000 progetti open source su GitHub e trovato il 64 per cento sono ancora vulnerabili di fronte a una grave sfruttabili da remoto difetto, per il quale l’Apache Foundation ha fornito la patch di Marzo. Era uno dei due difetti Equifax gli attaccanti, probabilmente utilizzato per rubare il suo database.
Snyk CEO e fondatore Ragazzo Podjarny riassume il problema che molti sviluppatori faccia nella protezione di applicazioni open-source con un sacco di dipendenze.
“Quando si utilizzano queste librerie open-source, si utilizza la folla di origine del codice, e che ha tutta una serie di implicazioni di sicurezza. È come affidarsi a Wikipedia per la ricerca medica. È generalmente accurate e buona, ma non sempre è buona, e la gente non traccia rischio per la sicurezza”, ha detto a ZDNet.
Il pericolo è maggiore per le vulnerabilità conosciute. La recente WannaCry e NotPetya distruttivo epidemie di malware in evidenza che molte organizzazioni consentire pubblicamente Windows difetti indugiare in sistemi business-critical per mesi.
Microsoft ha rilasciato una patch per il famigerato SMB difetto nel mese di Marzo, ma WannaCry influenzato più di 300.000 Pezzi quando ha colpito nel mese di giugno.
Ma almeno i principali fornitori del sistema operativo avvisare gli utenti e gli amministratori per la disponibilità di aggiornamenti. È messier per le applicazioni che si basano su decine di librerie condivise, molti dei quali non sono in allerta gli sviluppatori di un problema noto.
Snyk recente sviluppatore sondaggio ha rilevato che il 16,3 per cento, non aggiornare le loro dipendenze e meno della metà di strumenti utilizzati per avvertirli della vulnerabilità note.
GitHub nuovi avvisi di sicurezza potrebbe aiutare in questo senso. Snyk assistenza GitHub con la scansione di aprire-sorgente di vulnerabilità, che inizialmente si concentra su JavaScript e Rubino e comprenderà Python prossimo anno. GitHub fornirà anche suggerito correzioni da la sua comunità di sviluppatori.
Microsoft del nuovo progetto Sonar e gli strumenti di Google Chrome Faro anche utilizzare Snyk del database per aiutare gli sviluppatori web spot e patch noti difetti librerie JavaScript come parte di una più ampia revisione contabile per il sito web di problemi di prestazioni.
La sfida per gli sviluppatori in JavaScript e popolare JavaScript runtime, come Node.js, è aggravato dal numero di dipendenze utilizzati.
La media Node.js applicazione che utilizza il “centinaia a volte migliaia” di dipendenze nel suo albero, mentre ci sono generalmente meno in Ruby e Python, spiega Podjarny.
“JavaScript in particolare è un po’ più sensibili, soprattutto sul front-end, a causa di assenza di istruzioni e il diffuso utilizzo di servizi di terzi. Quindi stai tirando nella pagina JavaScript da una miriade di JavaScript fonti, dal 20 al 30 domini, e ciascuno di questi potrebbe introdurre un vulnerabili libreria nel codebase”, ha detto Podjarny.
“Ma francamente questo è in buona forma.”
Grazie per Snyk integrazione con Chrome Faro, l’azienda ha ora un quadro più chiaro di come è grande il JavaScript dipendenza pasticcio. Internet Archive HTTP Archivio iniziato il monitoraggio di questa figura nel mese di ottobre e del rapporto a cambiamenti nel corso del tempo.
Una scansione precedente da Snyk guardò in alto a 5.000 Url su Alexa, ma l’ultima scansione coperti oltre 400.000 Url di Google BigQuery scoperto che il 77 per cento conteneva almeno una vulnerabili ” -sito libreria JavaScript.
I risultati sono molto peggio di uno studio all’inizio di quest’anno che ha trovato il 37 per cento di 133,000 siti web includere almeno una libreria con una nota vulnerabilità.
“Gli sviluppatori non sono a conoscenza di questa preoccupazione,” ha detto Podjarny. “Ecco perché è importante per costruire la visibilità controlli regolari flussi di lavoro.”
Snyk CEO Ragazzo Podjarny:”Quando si utilizzano queste librerie open-source, si utilizza la folla di origine del codice, e che ha tutta una serie di implicazioni di sicurezza.”
Immagine: CNET
Precedente e relativa copertura
Equifax accusa di software open-source per il suo record di violazione della sicurezza: Report
Il rating di credito gigante sostiene un Apache Struts buco di sicurezza è stata la vera causa della sua violazione della sicurezza di 143 milioni di dischi. ZDNet esamina il reclamo.
GitHub per devs: Ora puoi ottenere avvisi di sicurezza sul falle popolare software di librerie
GitHub nuovo servizio consentirà agli sviluppatori di pulizia vulnerabili dipendenze di progetto.
Protezione Linux politica [Tech Pro Ricerca]
Linux poteri web server, sistemi di database, sviluppo di macchine e postazioni di lavoro dipendente. Questa politica offre linee guida per la sicurezza di Linux sui computer aziendali e i computer utilizzati per la conduzione delle attività aziendali.
Argomenti Correlati:
Enterprise Software
Cloud
Big Data Analytics
L’innovazione
Tecnologia e Lavoro
Collaborazione
0