Noll
Open-source programvara och de komponenter som är kritiska till många av de online-tjänster som vi använder idag.
Företag, allt från det mest välkända teknik jättar till Små och medelstora företag, ofta kommer att använda open-source-teknik för att förbättra sina egna processer och tillgång till användbar programvara bibliotek.
Open-source-komponenter kan användas i allt från säkerhet till Big Data-analys och kommunikation plattformar, men företag som misslyckas med att hålla koll på vad open-source-projekt som de förlitar sig på-samt hålla dessa system är säkra.
På tisdag, DevOps plattform Sonatype släppt ny forskning som tyder på att användning av open-source-komponenter som är utsatta för kända buggar har ökat med 120 procent under det senaste året, trots en rad uppmärksammade incidenter kopplade till utsatta öppen källkod.
Rapporten, Tillstånd av Programvaran Supply Chain, säger att 62 procent av företagen som deltar i forskning erkände att ha lite kunskap om open-source-komponenter i bruk genom sina försörjningskedjor och system.
Sonatype säger att utsatta, gamla versioner av Apache Struts, till exempel, är fortfarande laddas ner. Totalt, nära till 9 000 organisationer har nyligen laddat ner sårbara versioner snarare än att aktivt välja uppdaterad, lappade varianter.
I 2017, Equifax skyllde en okorrigerad Apache Struts sårbarhet för ett dataintrång vilket resulterar i en kompromiss på 143 miljoner poster. När exploateras bugg tillåter angripare utifrån att exekvera godtycklig kod, vilket kan leda till systemet kapning.
Läs om: Open-source säkerhet: Zip-Slip avgörande brist träffar tusentals projekt. Uppdatera nu
En brist på kunskap och urskillningslöst ladda ner utsatta open-source-komponenter utan att göra någon forskning är att placera företaget spelare i riskzonen, vilket har ökat ytterligare på grund av den minskade tid det tar för cyberbrottslingar att utnyttja en nyligen lämnas öppen källkod sårbarhet.
Enligt forskning, den tid det tar för att utnyttja minskat med 400 procent under de senaste tio åren.
Det kan vara så lite som tre dagar innan en exploatering för att utvecklas som innehåller ett open-source fel — vilket företag lite tid till triage och handling, förutsatt att de inte ens vet att de påverkas av en sårbarhet utlämnande.
Se även: Microsoft ‘ s nya verktyg med öppen källkod, kan söka igenom din webbplats för säkerhet och prestanda huvudvärk
Överbelastade it-team, men kan hitta automatiserade processer kan minska arbetsbördan.
TechRepublic: 8 hinder som måste övervinnas om man vill ha open source framgång
Rapporten hävdar att automatiserad open-source system security-lösningar kan bidra till att minska förekomsten av sårbarheter med potential att påverka företagets system med upp till 50 procent, och DevOps lag är 90 procent mer benägna att ansluta sig till open-source styrning när säkerhetspolitik är automatiserad.
“Vi ser fler brott i öppen källkod på grund av den gravitationella kraft som drar funktioner, komplexitet och teknisk skuld mot en programvara system över tid, vilket gör det mycket svårt att lappa i tid”, säger Kevin Greene, Rektor Software Assurance Engineer på HUVUDBINDELN. “Tyvärr, det har inte förändrats förbrukning av öppen källkod av utvecklare. Detta ligger i linje med vad jag tror är ett växande problem, som utvecklare kan ha försonats med tanken att all programvara som är utsatta och har kända sårbarheter. Vi måste ge utvecklare att bättre försörjningskedjor där kvalitet och säkerhet är intimt utformat i.”
I Maj, den forskning som bedrivs med Tyskland fann att 96 procent av företagets företag använder sig av öppen källkod och över 60 procent av dessa komponenter som ingår unpatched säkerhetsproblem.
Läs vidare: CNET: Öppen källkod överallt
Tidigare och relaterade täckning
Öppen källkod sårbarheter som inte kommer att dö: den Som är skyldig? Öppen källkod sårbarheter plåga företag kodbasen-system med Öppen källkod: Varför det är dags att vara mer öppen om hur projekt drivs
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0