Noll
Video: Sonar – Microsofts nya öppen källkod-verktyg för att hjälpa webbutvecklare säkra sina platser
Denna vecka GitHub lanserat en ny tjänst för att hjälpa utvecklarna att spåra upp och rätta till utsatta beroenden i projekt som finns på kodarkiv.
Tjänsten kan vara en stor förbättring för utvecklare som inte, av olika skäl, hålla sig à jour med kända brister i populära bibliotek för Ruby, JavaScript och Java-program.
Equifax nyligen brott, påverkar 145 miljoner AMERIKANSKA konsumenter och flera hundra tusen Britter, var ett utmärkt exempel på vad som kan hända när du misslyckas med att upptäcka och patch ett fel i programvara med öppen källkod, som för Equifax var Apache Struts, en populär Java-bibliotek.
Medan Equifax chefer och dess säkerhet laget har varit ställd vid skampålen för sin säkerhet brister, företagets brister är långt ifrån unikt när det gäller att out-of-date open-source-bibliotek som lurar i viktiga affärsprogram.
Följande Equifax avslöjande i September, UK-baserade öppen källkod sårbarhet databas operatör Snyk skannade 1,000 projekt med öppen källkod på GitHub och fann att 64 procent var fortfarande utsatta för en svår distans utnyttjas fel, för som Apache Foundation hade lämnat lappen i Mars. Det var en av två brister Equifax är angripare förmodligen används för att stjäla sin databas.
Snyk VD och grundare Guy Podjarny sammanfattade problemet många utvecklare ansikte i säkra open-source-program med massor av beroenden.
“När du använder dessa open-source-bibliotek som du använder crowd-sourcade kod och som har alla typer av konsekvenser för säkerheten. Det är som att förlita sig på Wikipedia för medicinsk forskning. Det är i allmänhet korrekt och bra, men inte alltid bra, och människor inte spåra säkerhetsrisk”, sa han till ZDNet.
Risken är förhöjd för kända sårbarheter. Den senaste WannaCry och NotPetya destruktiva skadliga program utbrott illustreras av att många organisationer ger offentliggöras Windows brister att dröja kvar i affärs-och verksamhetskritiska system för månader.
Microsoft har släppt en korrigeringsfil för den ökända SMB brist i Mars, men WannaCry negativt över 300.000 St. när det slog i juni.
Men åtminstone stora operativsystem varna användare och administratörer att tillgången till uppdateringar. Det är messier för program som förlitar sig på massor av delade bibliotek, av vilka många inte varna utvecklare till ett känt problem.
Snyk senaste utvecklare undersökningen visade att 16,3 procent inte uppdaterar sina beroenden och mindre än hälften av verktygen som används för att varna dem till kända sårbarheter.
GitHub är nytt säkerhetsvarningar som kan hjälpa i detta avseende. Snyk är att hjälpa GitHub med scan för kända open-source-sårbarheter, som inledningsvis fokuserar på JavaScript och Ruby och kommer att omfatta Python nästa år. GitHub kommer också att ge föreslagna korrigeringar från dess utvecklare.
Microsofts nya projekt Ekolod och Googles verktyg i Chrome Fyren också använda Snyk databas för att hjälpa webbutvecklare plats och patch kända brister i JavaScript-bibliotek som en del av en mer omfattande revision för webbplatsens prestanda.
En utmaning för utvecklare i JavaScript och populära JavaScript drifttider, såsom Node.js, förvärras av det stora antalet beroenden som används.
Den genomsnittliga Node.js programmet använder sig av “hundratals, ibland tusentals” av beroenden i sitt träd, medan det generellt är färre i Ruby och Python, förklarar Podjarny.
“JavaScript specifikt är lite mer känsliga, speciellt på den fronten, på grund av att ingen frågar och utbredd användning av tredje parts tjänster. Så du drar in till din sida JavaScript från myriad JavaScript källor, som från 20 till 30 domäner, och var och en av dessa kan införa ett utsatta bibliotek i din kodbas,” sade Podjarny.
“Men ärligt talat är detta i ganska dåligt skick över hela linjen.”
Tack för att Snyk integration med Chrome Fyr, företaget har nu en tydligare bild av hur stora JavaScript-beroende röran är. Internet Archive HTTP Arkiv börjat spåra denna figur i oktober och kommer att rapportera förändringar över tid.
En tidigare sökning genom att Snyk tittade på toppen 5,000 Webbadresser på Alexa, men de senaste scan täckt över 400 000 Webbadresser via Googles BigQuery visade att 77 procent innehöll minst en utsatt klient-webbplats JavaScript-bibliotek.
Resultaten är mycket värre än en studie tidigare i år att det finns 37 procent av 133,000 webbplatser som har minst ett bibliotek med en känd sårbarhet.
“Utvecklare är bara inte medvetna om detta problem,” sade Podjarny. “Det är därför det är viktigt att bygga upp synligheten kontroller i vanliga arbetsflöden.”
Snyk VD Kille Podjarny:”När du använder dessa open-source-bibliotek som du använder crowd-sourcade kod och som har alla typer av konsekvenser för säkerheten.”
Bild: CNET
Tidigare och relaterade täckning
Equifax skyller open-source programvara för sina rekord brott mot säkerheten: Rapport
Kreditbetyget jätte anspråk på en Apache Struts säkerhetshål var den verkliga orsaken till dess brott mot säkerheten för 143 miljoner poster. ZDNet granskar påståendet.
GitHub att devs: Nu ska du får säkerhetsvarningar på brister i populära program bibliotek
GitHub är nya tjänsten kommer att hjälpa utvecklare att städa upp utsatta projekt beroenden.
Säkra Linux policy [Tech Pro Forskning]
Linux befogenheter web-servrar, databas system, utveckling av maskiner, och de anställdas arbetsstationer. Denna policy finns riktlinjer för att säkra Linux på företagets datorer och datorer som används för att bedriva företagets verksamhet.
Relaterade Ämnen:
Affärssystem
Cloud
Big Data Analytics
Innovation
Tech och Arbete
Samarbete
0