Zero
Il software Open-source e i componenti sono fondamentali per molti servizi online che utilizziamo oggi.
Le aziende, che vanno dai più noti colossi della tecnologia per piccole e medie imprese, spesso uso di tecnologie open source per migliorare i propri processi di business e accesso utile librerie software.
Componenti Open-source può essere utilizzato in tutto, dalla sicurezza all’analisi dei Big Data e piattaforme di comunicazione, ma le aziende sono in grado di tenere traccia di ciò che i progetti open-source si basano su come mantenere questi sistemi sicuri.
Martedì, DevOps piattaforma Sonatype rilasciato una nuova ricerca suggerisce che l’uso di componenti open-source che sono vulnerabili al bug noti è aumentato del 120 per cento rispetto all’anno scorso, nonostante un numero di alto profilo e di incidenti di sicurezza legati vulnerabili software open-source.
Il rapporto, Stato del Software di Supply Chain, dice che il 62 per cento delle imprese partecipanti alla ricerca ha ammesso di aver poca conoscenza delle componenti open-source in uso attraverso le loro catene di approvvigionamento e sistemi.
Sonatype dice che vulnerabili, le vecchie versioni di Apache Struts, per esempio, sono ancora in fase di download. In totale, vicino a 9.000 organizzazioni hanno scaricato di recente versioni vulnerabili, piuttosto che attivamente selezione di aggiornamento, patch varianti.
Nel 2017, Equifax accusato un patch Apache Struts vulnerabilità per una violazione di dati con conseguente compromissione dei 143 milioni di dischi. Quando sfruttato il bug consente agli aggressori di eseguire codice arbitrario, potenzialmente portando a sistema di dirottamento.
Continua a leggere: Open-source di sicurezza: Zip Slip falla critica colpisce migliaia di progetti. Aggiorna ora
Una mancanza di conoscenza e indiscriminatamente il download vulnerabili componenti open-source, senza effettuare alcuna attività di ricerca sono il posizionamento di enterprise giocatori a rischio, che ha ulteriormente aumentato a causa del ridotto tempo i criminali informatici di sfruttare un neo-comunicati open-source vulnerabilità.
Secondo la ricerca, il tempo necessario per sfruttare è diminuito del 400% nell’ultimo decennio.
Potrebbe essere appena tre giorni prima di un exploit per essere sviluppato, che incorpora un open-source difetto — lascia imprese po ‘ di tempo per valutare e agire, supponendo che nemmeno sanno di essere affette da una vulnerabilità di divulgazione.
Vedi anche: Microsoft del nuovo strumento open source può eseguire la scansione del sito web per la sicurezza e la performance mal di testa
Overstretched cybersecurity squadre, tuttavia, possono trovare processi automatizzati in grado di ridurre il carico di lavoro.
TechRepublic: 8 ostacoli che deve superare se vogliono il successo per l’open source
Il rapporto sostiene che automatizzato sistema open-source di soluzioni di sicurezza può contribuire a ridurre la presenza di vulnerabilità, con il potenziale di impatto dei sistemi aziendali fino al 50 per cento, e DevOps squadre sono il 90 per cento più probabilità di aderire all’open-source governance quando le politiche di sicurezza sono automatizzati.
“Stiamo assistendo a più violazioni nel software open source a causa della forza di gravità che tira le caratteristiche, la complessità e la tecnica di debito nei confronti di un sistema software nel tempo, che rendono molto difficile la patch in modo tempestivo,” dice Kevin Greene, Principali Software Assurance Engineer presso MITRE. “Purtroppo, che non ha modificato il tasso di consumo di software open source, gli sviluppatori. Questo è coerente con quello che credo è una crescente preoccupazione, che gli sviluppatori sono arresi all’idea che tutto il software è vulnerabile e hanno le vulnerabilità conosciute. Dobbiamo dare agli sviluppatori meglio la catena di opzioni dove la qualità e la sicurezza sono intrinsecamente progettati.”
In Maggio, la ricerca condotta da Synopsys trovato che il 96 per cento dell’impresa le imprese di utilizzare software open-source e oltre il 60 per cento di questi componenti contenuti senza patch vulnerabilità di sicurezza.
Continua a leggere: CNET: Open source ovunque
Precedente e relativa copertura
Open-source vulnerabilità che non morirà: di Chi è la colpa? Open-source vulnerabilità peste enterprise codebase sistemi Open source: Perché è il momento di essere più aperti su come progetti
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0