Skrevet af Steven Vaughan-Nichols, senior bidragydende redaktør
Steven Vaughan-Nichols Senior Contributing Editor
Steven J. Vaughan-Nichols, aka sjvn, har skrevet om teknologi og teknologiens forretning, siden CP/M-80 var det banebrydende pc-operativsystem; 300bps var en hurtig internetforbindelse; WordStar var den nyeste tekstbehandler; og vi kunne lide det.
Fuld biografi Udgivet i Linux og Open Source den 4. marts 2022 | Emne: Enterprise Software
Når du tænker på vigtige open source-projekter, husker du næsten helt sikkert Linux, Apache-webserveren, LibreOffice og så videre. Og det er sandt. Disse er livsvigtige, men under disse er de kritiske softwarebiblioteker, der styrker hundredtusindvis af andre programmer. Disse er langt mindre kendte. Det er grunden til, at Harvard Laboratory for Innovation Science (LISH) og Linux Foundations Open Source Security Foundation (OpenSSF) for nyligt sammensatte en omfattende undersøgelse, Census II of Free and Open Source Software – Application Libraries, af disse kritiske under-the-hood. programmer.
Dette er den anden sådan undersøgelse. Den første, 2020's “Sårbarheder i kernen”, en foreløbig rapport og Census II af open source-software, fokuserede på det lavere niveau af kritiske operativsystembiblioteker og hjælpeprogrammer. Denne nye rapport samler data fra over en halv million observationer af fri og åben -source (FOSS) biblioteker brugt i produktionsapplikationer hos tusindvis af virksomheder.
Dataene til denne rapport kom fra Software Composition Analysis (SCA) scanninger af kodebaser fra tusindvis af virksomheder. Disse data blev leveret af Snyk , Synopsys Cybersecurity Research Center (CyRC) og FOSSA.
Formålet med dette, udover blot at ville vide, hvad der faktisk var de mest populære, open source applikationsbiblioteker, pakker og komponenter, er at hjælpe med at sikre disse projekter. Indtil du ved, at det er vigtigt, kan du ikke vide, hvad du skal sikre først.
For eksempel blev den hidtil relativt ukendte log4j-logningspakke et massivt sikkerhedsproblem, da Log4Shell zero-day blev afsløret. Jen Easterly, direktøren for USA's Department of Homeland Security (DHS) Cybersecurity and Infrastructure Security Agency (CISA) kaldte det “den mest alvorlige sårbarhed, jeg har set i min årtier lange karriere.” Denne fejl påvirkede titusinder eller hundreder af millioner af enheder og programmer.
Kevin Wang, FOSSAs grundlægger og administrerende direktør bemærkede, at OSS's allestedsnærværende natur betyder, at alvorlige sårbarheder – såsom Log4Shell – kan have en ødelæggende og udbredt indvirkning. Montering af et omfattende forsvar mod forsyningskædetrusler starter med at etablere stærk synlighed i software.” Kun ved at forstå vores “open source-afhængigheder kan vi forbedre gennemsigtigheden og tilliden til softwareforsyningskæden.”
Mike Dolan, Linux Foundations senior vicepræsident for projekter tilføjede: “Ved at forstå, hvilke FOSS-pakker der er de mest kritiske for samfundet, kan vi proaktivt støtte projekter, der berettiger operationer og sikkerhedsstøtte. Open source-software er grundlaget for vores daglige liv, fra vores pengeinstitutter til vores skoler og arbejdspladser. ”
Denne folketælling opdeler de 500 mest brugte FOSS-pakker i otte forskellige områder. Disse omfatter forskellige udsnit af data, inklusive versionsbestemt/versions-agnostisk, npm/non-npm pakkehåndtering og direkte/direkte og indirekte pakkekald. For eksempel er de top 10 version-agnostiske npm JavaScript-pakker, der kaldes direkte:
lodash
react
axios
< p>debug
@babel/core
express
semver
uuid
react-dom
p>
jquery
Disse og de andre topbiblioteker skal overvåges nøje for eventuelle sikkerhedsproblemer.
Udover blot at angive dem, gjorde undersøgelsens forfattere fra Harvard University fem overordnede resultater:
1) Der er behov for et standardiseret navneskema for softwarekomponenter. Som det er, er navnene ikke tilfældige, men der er heller ikke meget rim eller grund til dem.
2) Vi skal rydde op i kompleksiteten af pakkeversionering. Kan du med et øjeblik se, hvilken version en pakke er? Det kan du, hvis du arbejder på det program, men hvis du bare bruger det som en mursten i din software på højere niveau, kan det være et mysterium.
3) Meget af de mest udbredte FOSS er udviklet af kun en håndfuld bidragydere. Alle kender XKCD-tegneserien af en gigantisk softwarestak, der alt afhænger af en enkelt udvikler i Nebraska. Det triste og sjove ved dette er, at det ikke er en joke. Vi er stadig afhængige af kode, der er afhængig af en eneste programmør.
4) Forbedring af individuelle udviklerkontosikkerhed er ved at blive kritisk. Med hackingangreb på udviklere, der bliver mere almindelige, må vi beskytte deres konti som udviklingens kronjuveler, de er.
5) Ældre software i open source-området skal ryddes op. Normalt tænker vi på ældre software i form af den fyr, vi alle kender, som stadig kører Windows XP. Men gammel, barsk kode lever også videre i open source-depoter.
Når det er sagt, selvom denne undersøgelse er nyttig, er arbejdet langt fra færdigt. Der skal arbejdes mere og løbende. Alle deltagerne i denne rapport planlægger at arbejde på en anden undersøgelse. Dette er kun en forløber for mere udtømmende undersøgelser for bedre at forstå disse kritiske søjler i vores informationsinfrastruktur
Relaterede historier:
Alfa og Omega af softwareforsyningskæden securityLinux Foundation tilføjer softwareforsyningskædesikkerhed til LFXThe Linux Foundation identificerer de vigtigste open source softwarekomponenter og deres problemer Linux | Sky | Big Data Analytics | Innovation | Teknik og arbejde | Samarbejde