Nul
Open-source software og komponenter, som er afgørende for mange af de online-tjenester, vi bruger i dag.
Virksomheder, der spænder fra den mest velkendte teknologi-giganter til små og mellemstore virksomheder, vil ofte bruge open-source-teknologier til at forbedre deres egne forretningsprocesser og få adgang til nyttige software-biblioteker.
Open-source komponenter, der kan bruges i alt fra sikkerhed til Big Data-analyse og kommunikationsplatforme, men virksomhederne er ikke til at holde styr på, hvad open source-projekter, de er afhængige af-samt holde disse systemer.
Tirsdag, DevOps platform Sonatype frigivet ny forskning, som tyder på, at anvendelse af open source-komponenter, som er sårbare over for kendte fejl er steget med 120 procent i løbet af de seneste år, på trods af en række højt profilerede sikkerhedshændelser, der er knyttet til sårbare open-source software.
Den rapport, State of the Software Supply Chain, siger, at 62 procent af de virksomheder, der deltog i undersøgelsen, indrømmede at have lidt viden om de open-source komponenter, der er i brug gennem deres forsyningskæder og systemer.
Sonatype siger, at sårbare, gamle versioner af Apache Stivere, for eksempel, er stadig ved at blive hentet. I alt tæt til 9.000 organisationer har for nylig hentet sårbare versioner snarere end aktivt at vælge opdateret, lappet varianter.
I 2017, Equifax skylden for en ikke-opdateret Apache Stivere sårbarhed for et data, brud, hvilket resulterer i det kompromis, der på 143 millioner plader. Når udnyttet, bug tillader fjernangribere at udføre vilkårlig kode, der potentielt kunne føre til at systemet kapring.
Læs om: Open-source-sikkerhed: Zip-Slip kritisk fejl rammer tusindvis af projekter. Update nu
En mangel på viden og ukritisk henter sårbare open-source komponenter, uden at foretage nogen forskning er at placere virksomheden spillere på risiko, som er steget yderligere, på grund af den reducerede tid, det tager cyberkriminelle at udnytte en nyligt offentliggjort open-source sårbarhed.
Ifølge den forskning, den tid det tager for at udnytte reduceret med 400 procent i det sidste årti.
Det kan være så lidt som tre dage før en udnytte til at blive udviklet, som indeholder en open-source fejl — forlader virksomheder lidt tid på at undersøge og handling, forudsat at de selv ved, at de er påvirket af en offentliggørelse af sårbarheder.
Se også: Microsofts nye open source-værktøjet kan scanne din hjemmeside for sikkerhed og ydeevne hovedpine
Overbelastede cybersecurity hold, men kan finde automatiserede processer kan reducere arbejdsbyrden.
TechRepublic: 8 hurdler, DER skal overvindes, hvis de ønsker, at open source-succes
Rapporten hævder, at automatiserede open-source system security-løsninger kan bidrage til at reducere tilstedeværelsen af sårbarheder med potentiale til at påvirke virksomhedens systemer med op til 50 procent, og DevOps hold er 90 procent større sandsynlighed for at tilslutte sig open source-styring, når sikkerhedspolitikker, der er automatiserede.
“Vi oplever flere brud på open source-software på grund af tyngdekraften, der trækker funktioner, kompleksitet og teknisk gæld i retning af et software system over tid, hvilket gør det meget vanskeligt at lappe i tide,” siger Kevin Greene, Ledende Software Assurance Engineer hos MITRE. “Desværre, det har ikke ændret forbrug af open source-software udviklere. Dette er i overensstemmelse med, hvad jeg tror er en voksende bekymring for, at udviklere kan have overgivet sig til tanken om, at al software er sårbare og har kendte sårbarheder. Vi skal give udviklere en bedre supply chain muligheder, hvor kvalitet og sikkerhed er uløseligt integreret i designet.”
I Maj, forskning udført af Synopsys fandt, at 96 procent af enterprise-virksomheder, der bruger open source software, og over 60 procent af disse komponenter, der er indeholdt uændrede sikkerhedshuller.
Læs om: CNET: Open source overalt
Tidligere og relaterede dækning
Open source-sårbarheder, som ikke vil dø: Hvem har skylden? Open-source sårbarheder pest virksomheden codebase systemer, Open source: Hvorfor er det tid til at være mere åben om, hvordan projekter, der gennemføres
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0