Nul
Video: Sonar – Microsoft ‘ s nieuwe open-source tool helpt web ontwikkelaars hun websites
Deze week GitHub een nieuwe dienst gelanceerd om ontwikkelaars te helpen fret uit en oplossen van kwetsbare afhankelijkheden in projecten gehost op de code repository.
De dienst zou een belangrijke verbetering zijn voor ontwikkelaars die niet voor een verscheidenheid van redenen, op de hoogte te blijven van de bekende foutjes in het populaire bibliotheken voor Ruby, JavaScript en Java-toepassingen.
Equifax de recente breuk, die van invloed 145 miljoen AMERIKAANSE consumenten en een paar honderd duizend Britten, was een eerste voorbeeld van wat er kan gebeuren als je niet te ontdekken en correctie van een fout in de open-source software, die voor Equifax is Apache Struts, een populaire Java-bibliotheek.
Terwijl Equifax execs en de security team zijn aan de schandpaal genageld voor de beveiliging van gebreken, het bedrijf, de tekortkomingen van zijn verre van uniek als het gaat om out-of-datum open-source bibliotheken op de loer in belangrijke zakelijke toepassingen.
Volgende Equifax de bekendmaking in September, UK op basis van open-source vulnerability database operator Snyk gescand 1,000 open-source projecten op GitHub en vond 64 procent nog steeds kwetsbaar voor een ernstige extern worden misbruikt fout, waarvoor de Apache Foundation had patches in Maart. Het was één van de twee fouten Equifax de aanvallers waarschijnlijk gebruikt om te stelen van haar database.
Snyk CEO en oprichter Guy Podjarny samengevat het probleem veel ontwikkelaars gezicht in het beveiligen van open-source applicaties met veel afhankelijkheden.
“Als je deze open-source bibliotheken, maakt u gebruik van crowd-sourced code en dat heeft allerlei gevolgen voor de veiligheid. Het is als een beroep op Wikipedia voor medisch onderzoek. Het is over het algemeen correct en goed, maar niet altijd even goed, en de mensen geen spoor gevaar voor de veiligheid,” zei hij tegen ZDNet.
Het gevaar wordt versterkt voor bekende kwetsbaarheden. De recente WannaCry en NotPetya destructieve malware uitbraken geïllustreerd dat veel organisaties in het openbaar Windows fouten om te blijven hangen in business-critical systemen voor maanden.
Microsoft een patch uitgebracht voor de beruchte SMB fout in Maart, nog WannaCry beïnvloed meer dan 300.000 Stuks het sloeg in juni.
Maar op zijn minst belangrijkste besturingssysteem leveranciers alert gebruikers en beheerders in staat om de beschikbaarheid van de updates. Het is messier voor toepassingen die een beroep doen op tientallen gedeelde bibliotheken, veel van die niet alert ontwikkelaars een bekend probleem.
Snyk de recente ontwikkelaar onderzoek bleek dat 16,3 procent niet updaten van hun afhankelijkheden en minder dan de helft gebruikt tools om ze te waarschuwen voor bekende kwetsbaarheden.
GitHub het nieuwe veiligheids waarschuwingen kunnen helpen in dit opzicht. Snyk is het assisteren van GitHub met de scan voor de bekende open-source kwetsbaarheden, die richt zich in eerste instantie op JavaScript en Ruby en bevat Python volgend jaar. GitHub zal ook de mogelijke oplossingen van de community van ontwikkelaars.
Microsoft ‘s nieuwe project Sonar en Google’ s tools in Chrome Vuurtoren ook gebruik Snyk de database en helpt web ontwikkelaars plek en patch bekende gebreken in de JavaScript libraries als onderdeel van een bredere audit voor de website van de problemen met de prestaties.
De uitdaging voor ontwikkelaars in JavaScript en populaire JavaScript runtimes, zoals Node.js is verergerd door het grote aantal afhankelijkheden gebruikt.
De gemiddelde Node.js de toepassing maakt gebruik van “honderden, soms duizenden” van de afhankelijkheden in de boom, terwijl er over het algemeen minder in Ruby en Python, legt Podjarny.
“JavaScript in het bijzonder is een beetje gevoeliger, vooral op de front-end, omdat er geen aanwijzingen en het gangbare gebruik van diensten van derden. Zo bent u te trekken in uw pagina JavaScript uit talloze JavaScript bronnen, zoals de 20 en 30 domeinen, en elk van deze kunnen leiden tot een kwetsbare bibliotheek in uw codebase,” zei Podjarny.
“Maar eerlijk gezegd, dit is in een zeer slechte conditie in de raad van bestuur.”
Dankzij Snyk de integratie met Chrome Vuurtoren, het bedrijf heeft nu een duidelijker beeld van hoe groot de JavaScript-afhankelijkheid puinhoop is. Het Internet Archive is HTTP Archief begonnen met het bijhouden van deze afbeelding in oktober en rapporteren van veranderingen in de tijd.
Een eerdere scan door Snyk gekeken naar de top 5000 Url ‘s op Alexa, maar de laatste scan bedekt meer dan 400.000 Url’ s via Google BigQuery bleek dat 77 procent bevatte ten minste een kwetsbare cliënt-site JavaScript-bibliotheek.
De resultaten zijn veel slechter dan een onderzoek eerder dit jaar vond 37 procent 133.000 websites bevatten ten minste één bibliotheek met een bekende kwetsbaarheid.
“Ontwikkelaars zijn gewoon niet bewust van dit belang,” zei Podjarny. “Dat is waarom het belangrijk is om te bouwen van de zichtbaarheid van de controles in de reguliere werkprocessen.”
Snyk CEO Guy Podjarny:”Als je deze open-source bibliotheken, maakt u gebruik van crowd-sourced code en dat heeft allerlei gevolgen voor de veiligheid.”
Afbeelding: CNET
Vorige en aanverwante dekking
Equifax wijt open-source software voor de record-brekende inbreuk op de beveiliging: Rapport
De credit rating gigantische claims van een Apache Struts gat in de beveiliging was de echte oorzaak van de inbreuk op de beveiliging van 143 miljoen records. ZDNet onderzoekt de claim.
GitHub te devs: je krijgt Nu beveiligingswaarschuwingen op gebreken in de populaire software bibliotheken
GitHub is een nieuwe service waarmee ontwikkelaars opruimen kwetsbare project afhankelijkheden.
Het beveiligen van een Linux-beleid [Tech Pro Onderzoek]
Linux bevoegdheden web servers, database systemen, machines ontwikkeling en werknemer werkstations. Dit beleid biedt richtlijnen voor beveiliging van Linux op de computers van het bedrijf en computers gebruikt om het gedrag van het bedrijf.
Verwante Onderwerpen:
Enterprise Software
Cloud
Big Data Analytics
Innovatie
Tech en Werk
Samenwerking
0