Waarom zijn bedrijven gaat open-source? Red Hat antwoorden
Red Hat ‘ s nieuwe enquête van enterprise bedrijven blijkt een wereld waar bijna iedereen heeft zich aangesloten bij het open-source-bandwagon.
Lees meer: https://zd.net/2viwrQb
Tot 60 procent van alle codebases gebruikt in de onderneming bevatten ten minste één van de kwetsbaarheid afkomstig van open-source componenten, nieuw onderzoek suggereert.
Op dinsdag, Zwarte Eend door Synopsys uitgebracht haar jaarlijkse Open Source Security en Risico-Analyse (OSSRA) rapport, dat geanalyseerd van de geanonimiseerde gegevens van ruim 1200 commerciële codebases van 2018.
Open-source software, bibliotheken en andere onderdelen zijn vaak van cruciaal belang voor veel bedrijven.
De ondersteuning van de open-source gemeenschap, vele getalenteerde programmeurs bereid zijn om hun tijd geven om bij te dragen aan projecten, code transparantie en snellere implementatie keer dan de ontwikkeling van systemen in huis dragen allemaal bij aan de hoge tarieven van open-source adoptie.
Van alle codebases beoordeeld door Zwarte Eend, 96 procent bevatte open-source componenten, en de meeste van de codebases zonder open-source bevatte minder dan 1.000 bestanden. Als de afbeelding is gewijzigd om codebases met meer dan 1000 bestanden, het open-source-vaststelling tarief verhoogd naar 99 procent.
Zie ook: Open source software inbreuk stijging in de afgelopen 12 maanden
Op gemiddelde, Zwarte Eend geïdentificeerd 298 open-source componenten per codebase in 2018 in vergelijking met 257 in het voorgaande jaar.
×
screenshot-2019-04-29-in-11-51-45.png
En het voordeel van de ogen van velen op een project kan betekenen dat open-source code heeft de beveiliging voordelen, soms zwakke punten kunnen door de mazen van het net blijven of niet gecorrigeerde als ontwikkelaars kunnen niet beseffen dat ze zijn beïnvloed door een lek.
Uit de codebases beoordeeld, 60 procent bevatte ten minste één van de kwetsbaarheid. Het lijkt er echter op dat de veiligheidssituatie is verbeterd, dit is een verkleinde afbeelding van 78 procent in 2017.
In totaal, Zwarte Eend, zegt dat meer dan 40 procent bevatte kwetsbaarheden beschouwd als een kritische aard.
“De realiteit is dat open-source is niet minder veilig dan eigen code,” zegt het rapport. “Maar geen van beide is het beter te beveiligen. Alle software, zijn het eigendom van, of open-source, heeft zwakke punten die kunnen worden kwetsbaarheden, die organisaties moet identificeren en patch.”
De gemiddelde leeftijd van kwetsbaarheden gescand werd 6.6 jaar. De oudste, CVE-2000-0388, wordt een buffer-overflow-fout in de FreeBSD libmytinfo bibliotheek, die werd bekendgemaakt 28 jaar geleden. In totaal 43 procent van de codebases gescand bevatte een bug meer dan 10 jaar oud, die kan wijzen op de bedrijven zijn zich niet bewust van hun open-source gebruik of het beheer van een catalogus van de componenten, waardoor de bladeren verouderen ongepatchte software en open te exploiteren.
TechRepublic: Wijdverbreid scam campagnes die zijn getarget op miljoenen ontdekt door GoDaddy en Palo Alto Networks
Een aantal van de meest kritieke kwetsbaarheden gevonden inbegrepen CVE-2018-7489, een uitvoering van externe code FasterXML jackson-databind lek; CVE-2017-15095, een deserialisatie fout in de jackson-databind; CVE-2014-0050, een denial-of-service (DoS) probleem van invloed van Apache Tomcat, JBoss Web, en anderen; en CVE-2017-15708, een uitvoering van externe code bug in Apache Synaps.
De meest voorkomende bug aanwezig in codebases was CVE-2012-6708, een medium-ernst XSS probleem van invloed versies van jQuery voordat 1.9.0.
CNET: Mozilla ‘ s radicale open-source beweging geholpen herschrijfregels van tech
“Slechts een handvol van open-source kwetsbaarheden — zoals die sterk van invloed zijn Apache Struts of OpenSSL-waarschijnlijk worden op grote schaal uitgebuit,” zeggen de onderzoekers. ‘Met dat in het achterhoofd, moeten organisaties zich richten op het open source vulnerability management en preventie-inspanning op CVSS score en de beschikbaarheid van exploits, niet alleen op “day zero” van een kwetsbaarheid openbaarmaking, maar over de levenscyclus van de open-source component.”
Een ander probleem in het rapport licenties van conflicten. In totaal heeft 68 procent van de codebases gecontroleerde opgenomen componenten met conflicten, en 38% bevatte onderdelen met geen identificeerbare licentie.
Vorige en aanverwante dekking
Adobe Flash security tool Flashmingo debuteert in de open source community
Open-source kwetsbaarheden die zal niet sterven: Wie is de schuldige?
Rode Team om te helpen bij een veilig gebruik van open-source software
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters