Nul
Video: Sonar – Microsofts nye open source-værktøj, der kan hjælpe web-udviklere at sikre, at deres websteder
I denne uge GitHub lanceret en ny service til at hjælpe udviklere med at opsnuse og fix sårbare afhængigheder i projekter, der er hostet på koden repository.
Service kunne være en stor forbedring for de udviklere, der ikke, af forskellige årsager, holde sig ajour med kendte fejl i populære biblioteker for Ruby, JavaScript og Java-programmer.
Equifax ‘ s seneste overtrædelse, der påvirker 145 millioner AMERIKANSKE forbrugere, og flere hundrede tusinde Briterne, var et godt eksempel på, hvad der kan ske, når du undlader at opdage og patch er en fejl i open-source software, som for Equifax var Apache Stolper, en populær Java bibliotek.
Mens Equifax execs og dens security team har været hængt ud for sin sikkerhed mangler, virksomhedens mangler er langt fra enestående, når det kommer til out-of-date open source-biblioteker, der lurer i det centrale business-applikationer.
Følgende Equifax afsløring i September, UK-baseret open-source vulnerability database operatør Snyk scannet 1,000 open source-projekter på GitHub og fandt 64 procent var stadig sårbare over for en svær udnyttes eksternt fejl, for som Apache Foundation havde givet patches i Marts. Det var en af to fejl Equifax ‘ s angribere, sandsynligvis brugt til at stjæle sin database.
Cavi, CEO og grundlægger Fyr Podjarny opsummerede det problem, som mange udviklere ansigt i sikring af open source-programmer med masser af afhængigheder.
“Når du bruger disse open source-biblioteker, du bruger crowd-sourced-kode, og som har alle mulige sikkerhedsmæssige konsekvenser. Det er ligesom at stole på Wikipedia for den medicinske forskning. Det er generelt præcis og god, men ikke altid god, og folk ikke spor sikkerhedsrisiko,” fortalte han ZDNet.
Faren er øget for kendte sårbarheder. Den seneste WannaCry og NotPetya ødelæggende malware udbrud har vist, at mange organisationer tillade offentligt tilgængelige Vinduer mangler at blive hængende i forretningskritiske systemer til måneder.
Microsoft har udgivet et patch til den berygtede SMB fejl i Marts, men WannaCry påvirket over 300.000 Pc ‘ er, når det ramte i juni.
Men i hvert fald store leverandører af operativsystemer advare brugere og administratorer at tilgængeligheden af opdateringer. Det er messier for applikationer, der er afhængige af snesevis af delte biblioteker, hvoraf mange ikke-alarm-udviklere til et kendt problem.
Snyk ‘ s seneste udvikler undersøgelse viste, at 16.3 procent ikke opdatere deres afhængigheder og mindre end halvdelen, der anvendes værktøj til at advare dem for kendte sårbarheder.
GitHub ‘ s nye sikkerheds-advarsler, som kan hjælpe i denne henseende. Snyk er at bistå GitHub med scan for kendte open-source sårbarheder, som i første omgang fokuserer på JavaScript og Ruby og vil omfatte Python næste år. GitHub vil også give foreslåede rettelser fra dens udvikler samfundet.
Microsoft ‘s nye projekt, Ekkolod og Google’ s værktøjer i Chrome Fyr også bruge Snyk ‘ s database for at hjælpe webudviklere stedet og patch kendt fejl i JavaScript biblioteker som en del af en bredere revision af hjemmeside problemer med ydeevnen.
Udfordringen for udviklere i JavaScript og populære JavaScript-runtime, som Node.js, er forværret af det store antal af afhængigheder, der anvendes.
Den gennemsnitlige Node.js programmet bruger “hundreder, sommetider tusinder” af afhængigheder i sit træ, mens der generelt er færre i Ruby og Python, forklarer Podjarny.
“JavaScript specifikt er en smule mere modtagelige, især på den forreste ende, fordi i ikke beder, og den udbredte brug af tredjeparts-tjenester. Så du trækker ind i din side JavaScript fra utallige JavaScript kilder, gerne 20 til 30 domæner, og hver af dem kunne præsentere en sårbar bibliotek i din kodebase,” sagde Podjarny.
“Men helt ærligt dette er i temmelig dårlig form over hele linjen.”
Tak til Snyk ‘s integration med Chrome’ s Fyrtårn, virksomheden har nu et klarere billede af, hvor stor JavaScript afhængighed rod. Internet Archive er HTTP Arkiv startede tracking dette tal i oktober og vil indberette ændringer over tid.
En tidligere scanning af Snyk kiggede på 5.000 øverste Webadresser på Alexa, men den seneste scanning, der er omfattet end 400.000 Webadresser, via Google ‘ s BigQuery fandt, at 77 procent, der er indeholdt mindst én sårbar kunde-site JavaScript bibliotek.
Resultaterne er meget værre end en undersøgelse tidligere i år, at der fandt 37 procent af 133,000 hjemmesider har mindst ét bibliotek med en kendt sårbarhed.
“Udviklere er blot ikke opmærksomme på dette problem,” sagde Podjarny. “Det er derfor, det er vigtigt at skabe synlighed kontrol i regelmæssige arbejdsgange.”
Snyk CEO Fyr Podjarny:”Når du bruger disse open source-biblioteker, du bruger crowd-sourced-kode, og som har alle mulige sikkerhedsmæssige konsekvenser.”
Billede: CNET
Tidligere og relaterede dækning
Equifax bebrejder open-source software til sin rekordstore sikkerhedsbrud: Rapport
Kreditvurderingen gigant hævder en Apache-Struts sikkerhedshul var den egentlige årsag til sin brud på 143 millioner plader. ZDNet undersøger påstanden.
GitHub til devs: Nu får du sikkerhed indberetninger om fejl i det populære software-biblioteker
GitHub ‘ s nye service vil hjælpe udviklere med at rydde op sårbare projekt afhængigheder.
Sikring af Linux-politik [Tech Pro Forskning]
Linux beføjelser, web-servere, database systemer, udvikling af maskiner, og medarbejderen arbejdsstationer. Denne politik giver retningslinjer for sikring af Linux på virksomhedens computere og computere, der bruges til at gennemføre virksomhedens forretning.
Relaterede Emner:
Virksomhedens Software
Cloud
Big Data Analytics
Innovation
Tech og Arbejde
Samarbejde
0