امنیت نرم افزار منبع باز شروع به بلوغ می کند | دانش مرکز داده

شرکت‌هایی که دارای یک سیاست امنیتی نرم‌افزار منبع باز (OSS) هستند، تمایل دارند در مقیاس‌های خود ارزیابی آمادگی عملکرد بسیار بهتری داشته باشند. بر اساس نظرسنجی منتشر شده در 21 ژوئن، آنها همچنین تمایل دارند که تیم های اختصاصی مسئول امنیت نرم افزار رانندگی داشته باشند.

این نظرسنجی – که توسط شرکت امنیت نرم‌افزاری Snyk و بنیاد لینوکس در روز سه‌شنبه منتشر شد – نشان داد که از هر 10 شرکتی که یک خط‌مشی امنیتی OSS دارند، هفت شرکت توسعه برنامه‌های خود را بسیار یا تا حدودی ایمن می‌دانند. در مقایسه، تنها 45 درصد از شرکت هایی که نتوانستند چنین سیاستی را وضع کنند، حداقل تا حدودی خود را امن می دانند.

مت جارویس، مدیر روابط توسعه‌دهنده Snyk می‌گوید نرم‌افزار متن‌باز مزایای قابل‌توجهی برای توسعه برنامه‌های کاربردی دارد، اما شرکت‌ها باید جنبه‌های منفی را نیز بشناسند و برای آن آماده شوند.

او می‌گوید: «در حالی که منبع باز مکانیزمی اثبات‌شده برای نوآوری و ساخت نرم‌افزار با کیفیت بالا است، اما تا حدودی قربانی موفقیت خود می‌شود، زیرا فراگیر بودن آن آن را به هدفی برای حملات زنجیره تأمین تبدیل کرده است». شرکت‌ها باید درک قوی‌تری از هر دو مکانیسمی که منبع باز کار می‌کند، ایجاد کنند، و این شامل حاکمیت و همچنین کد می‌شود، و رویکرد خود را برای مدیریت زنجیره تامین از طریق اتخاذ ابزارها و روش‌های امنیتی اول توسعه‌دهنده تقویت کنند.

تاخیر شرکت های کوچکتر در سیاست های OSS

به طور کلی، تنها حدود نیمی از شرکت‌ها یک خط‌مشی امنیتی منبع باز دارند تا توسعه‌دهندگان را در استفاده از اجزا و چارچوب‌ها راهنمایی کند، با توجه به اینکه تعداد بیشتری از شرکت‌های کوچک، 60 درصد، یا فاقد خط‌مشی هستند یا نمی‌دانند که آیا آن را دارند یا خیر. به گزارش

در این گزارش آمده است که اقتصاد امنیت تمایل دارد اولویت ایجاد یک سیاست رسمی برای استارت آپ ها و شرکت های کوچکتر را کاهش دهد.

در این گزارش آمده است: «سازمان‌های کوچک دارای کارکنان و بودجه‌های کوچک فناوری اطلاعات هستند و نیازهای عملکردی کسب‌وکار اغلب اولویت دارند تا کسب‌وکار بتواند رقابتی باقی بماند». کمبود منابع و زمان دلایل اصلی عدم توجه سازمان ها به بهترین شیوه های امنیتی OSS بود.

منبع: گزارش «بررسی چالش های امنیت سایبری در نرم افزارهای متن باز».

بر اساس این مطالعه، زبان های برنامه نویسی مختلف نیز ملاحظات امنیتی متفاوتی را به همراه داشتند. برای مثال، برنامه‌هایی که در دات‌نت نوشته شده‌اند، 148 روز طولانی‌ترین میانگین زمان را برای رفع ایرادات دارند و پس از آن جاوا اسکریپت قرار دارد، در همین حال، برنامه‌هایی که در Go نوشته شده‌اند، سریع‌ترین زمان برای اصلاح را داشتند و معمولاً در یک سوم آن زمان رفع می‌شدند. ، یا 49 روز.

وابستگی های جاوا اسکریپت فراوان است

برنامه های جاوا اسکریپت بیشترین وابستگی ها را دارند – به گفته Snyk به طور متوسط ​​174 در هر پروژه – یا حدود هفت برابر زبان با کمترین وابستگی، Python، که به طور متوسط ​​25 در هر پروژه است.

جارویس می‌گوید در حالی که درخت‌های وابستگی انتقالی بزرگ می‌توانند منجر به مسیرهای مداری برای رفع آسیب‌پذیری‌ها شوند، اگر سازمانی راه‌هایی برای ردیابی روابط بین پروژه‌ها داشته باشد، داشتن تعداد زیادی وابستگی لزوماً یک نقطه ضعف نیست.

او می‌گوید: «بسته‌های جاوا اسکریپت نسبت به سایر اکوسیستم‌ها دامنه کوچک‌تری دارند، بنابراین اگرچه تعداد آنها بیشتر است، ممکن است کد کمتری برای ممیزی برای نقاط ضعف احتمالی وجود داشته باشد. مهم‌ترین مسئله درک وابستگی‌هایی است که استفاده می‌کنید، به‌ویژه وابستگی‌های انتقالی که به عنوان وابستگی‌های وابستگی وارد می‌شوند، و این به استفاده از ابزار امنیتی مناسب برای اسکن چیزها منتهی می‌شود.»

با این حال، داده‌ها همچنین نشان می‌دهند که زبان‌های مختلف دارای شدت‌های متفاوتی از نقص هستند. به عنوان مثال، متوسط ​​پروژه ای که به زبان جاوا نوشته شده است، دارای بیش از 47 آسیب پذیری با شدت بالا و 28 آسیب پذیری با شدت متوسط ​​است که بسیار بالاتر از جاوا اسکریپت رتبه دوم که به ترتیب دارای میانگین 18 و 21 آسیب پذیری بودند. با این حال، پایتون بیشترین آسیب پذیری های کم شدت را داشت، به طور متوسط ​​20 آسیب پذیری در هر پروژه.

جارویس می‌گوید: «عوامل زیادی در داده‌ها نقش دارند – پیچیدگی پروژه‌ها، تعداد توسعه‌دهندگان و محبوبیت همگی بر تعداد و انواع آسیب‌پذیری‌ها تأثیر خواهند داشت.» بسیاری از توسعه‌دهندگان به پروژه‌هایی که بسیار محبوب هستند نگاه می‌کنند، احتمالاً باگ‌های بیشتری را نشان می‌دهند.»

اتوماسیون = بلوغ امنیتی

علی‌رغم اهمیت شناسایی آسیب‌پذیری‌ها در وابستگی‌ها، اکثر شرکت‌های بالغ از نظر امنیتی – آنهایی که دارای سیاست‌های امنیتی OSS هستند – به توصیه‌های آسیب‌پذیری صنعت (60%)، نظارت خودکار بسته‌ها برای اشکالات (60%) و اعلان‌های نگهدارنده بسته (49٪) متکی هستند. )، برطبق بررسی ها.

نظارت خودکار نشان‌دهنده مهم‌ترین شکاف بین شرکت‌های بالغ امنیتی و شرکت‌های بدون خط‌مشی است، به طوری که تنها 38 درصد از شرکت‌هایی که خط‌مشی ندارند، از نوعی نظارت خودکار استفاده می‌کنند، در مقایسه با 60 درصد شرکت‌های بالغ.

Snyk’s Jarvis می‌گوید: اگر شرکت‌ها سیاست امنیتی OSS ندارند، باید به عنوان راهی برای تقویت امنیت توسعه خود، یک سیاست امنیتی OSS اضافه کنند. او می گوید حتی یک سیاست سبک وزن شروع خوبی است.

او می‌گوید: «بین داشتن یک سیاست و این احساس که توسعه تا حدودی ایمن است، ارتباط وجود دارد». ما فکر می کنیم که داشتن یک خط مشی نقطه شروع معقولی برای بلوغ امنیتی است، زیرا نشان می دهد که سازمان از مسائل بالقوه آگاه است و این سفر را آغاز کرده است.