コンテンツ
- どこでもオープンソース
- オープンソースの脆弱性:結果が出ています
- 最も脆弱なものは何ですか?
- バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
- オープンソースの脆弱性のワイルドウェスト
- オープンソースコミュニティはセキュリティの上にあります—ユーザーは追いつく必要があります
- オープンソースセキュリティで先を行く方法
取り除く:
オープンソースコンポーネントはソフトウェアを構築するための優れた方法ですが、その中の脆弱性は組織全体を危険にさらす可能性があります。自分自身とあなたのビジネスを保護するために、リスクを把握し、オープンソースのセキュリティソリューションを最新の状態に保ちます。
開発チームがソフトウェア生産の競争のペースに追いつくために競争するにつれて、オープンソースコンポーネントはすべての開発者のツールボックスの不可欠な部分になり、DevOpsの速度で革新的な製品を作成および出荷できるようになりました。
オープンソースコンポーネントの脆弱性を悪用したEquifax侵害などの見出しをつかむデータ侵害とともに、オープンソース使用の一貫した増加により、組織は最終的にオープンソースセキュリティを管理し、オープンソース脆弱性のワイルドウェストに対処する準備が整う可能性があります。しかし、問題は、彼らがどこから始めるべきかを知っているかどうかです。 (詳細については、定性的対定量的:サードパーティの脆弱性の重大度を評価する方法を変更する時間を参照してください。)
どこでもオープンソース
WhiteSourceは最近、オープンソースの脆弱性管理レポートの状態を公開し、組織がオープンソースセキュリティに取り組む方法をよりよく理解するのに役立つ洞察を提供しました。米国および西ヨーロッパの650人の開発者の間で行われたオープンソースの使用に関する調査の結果を含むレポートによると、開発者の87.4%がオープンソースコンポーネントに「非常に頻繁に」または「常時」依存しています。 」別の9.4パーセントは、「時々」オープンソースコンポーネントを使用すると答えました。際立っていたのは、参加者のわずか3.2%がオープンソースを決して使用しないと回答したことであり、これはおそらく会社の方針の結果であると考えられました。
これらの数字は、ソフトウェアプロジェクトに取り組んでいる開発者がおそらくオープンソースコンポーネントを活用していることを疑う余地なく明らかにしています。
オープンソースの脆弱性:結果が出ています
レポートはまた、開発チームが必要とするオープンソースの脆弱性について学ぶために、National Vulnerability Database(NVD)、セキュリティアドバイザリ、査読済みの脆弱性データベース、一般的なオープンソースの問題トラッカーから集約されたWhiteSourceオープンソースデータベースを深く掘り下げました。対処する。
結果から、既知のオープンソースの脆弱性の数は、3,500近くの脆弱性で2017年に過去最高を記録しました。これは、2016年と比較して、開示されているオープンソースの脆弱性の数が60%を超えて増加しており、この傾向は2018年に低下する兆候を示していません。
最も脆弱なものは何ですか?
この調査では、最も脆弱なオープンソースプロジェクトを見つけるためにデータベースも掘り下げ、驚くべき結果を出しました。すべてのオープンソースプロジェクトの7.5パーセントが脆弱ですが、上位100の最も人気のあるオープンソースプロジェクトの32パーセントには少なくとも1つの脆弱性があります。
複数のライブラリを危険にさらすには1つの脆弱性で十分ですが、脆弱なオープンソースプロジェクトには平均8つの脆弱性が含まれています。つまり、最も人気のあるオープンソースプロジェクトは、多くの場合、脆弱性が高いプロジェクトでもあります。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。
この洞察は、オープンソースの脆弱性が最も多いトップ10のオープンソースプロジェクトのリストを見るとさらに明確になります。トップ10リストには、私たちの多くが使用している非常に人気のあるオープンソースプロジェクトが含まれています。
これらのプロジェクトには共通点が1つあります。それらのほとんどは、インターネットに面したフロントエンドコンポーネントであり、攻撃対象が非常に多く、比較的簡単に悪用されます。だからこそ、彼らはオープンソースのセキュリティ研究コミュニティの注目を集めています。
これらのプロジェクトの多くが共有するもう1つの側面は、ほとんどが営利企業によって支援されていることです。それらの背後にある利害関係とリソースを考えると、人は尋ねることができます:そのような大きなプレーヤーによってサポートされているプロジェクトはどうしてそんなに脆弱なのでしょうか?
オープンソースの脆弱性のワイルドウェスト
過去において、オープンソースの脆弱性の発見は、オープンソースのコンポーネントが安全に使用できるほど十分に維持されているかどうかについて活発な議論を呼び起こしました。幸いなことに、当時は終わりました。今日、報告されているオープンソースの脆弱性の増加は、オープンソースコミュニティとセキュリティコミュニティが脅威の状況に追いつくためにどれほど迅速に対応しているかを示しています。
オープンソースコミュニティの飛躍的な成長と、Heartbleedの成功を可能にするような有名なコンポーネントの悪名高いオープンソースの脆弱性の発見が遅れたことにより、オープンソースのセキュリティに対する意識が高まり、オープンソースを分析する研究者が増えました脆弱性のプロジェクト、および修正の迅速な対応。
実際、WhiteSourceのレポートでは、報告されたすべての脆弱性の97%がオープンソースコミュニティで少なくとも1つの修正案があり、セキュリティ更新プログラムは通常、脆弱性の公開から数日以内に公開されています。 (オープンソースの詳細については、「オープンソース:真実であるのは良いことですか?」を参照してください。)
オープンソースコミュニティはセキュリティの上にあります—ユーザーは追いつく必要があります
オープンソースコミュニティのコラボレーションとオープンソースセキュリティの改善への取り組みは、脆弱性の発見、開示、迅速な修正に関して確実に結果を示していますが、オープンソースコミュニティは分散型であるため、ユーザーが追いつくのは困難です。
開発者が商用ソフトウェアコンポーネントを使用する場合、バージョンの更新は彼らが支払うサービスの一部であり、ベンダーはそれを確認することについてかなり強引になる可能性があります。
それはオープンソースの仕組みではありません。ホワイトソースデータは、報告されたオープンソースの脆弱性の86%のみがCVEデータベースに表示されることを示しました。これは、オープンソースコミュニティの協調的かつ分散的な性質により、オープンソースの脆弱性に関する情報と更新が何百ものリソースにわたって公開されるためです。特にオープンソースの使用量を考慮すると、そのような情報を手動で追跡することは不可能です。
オープンソースセキュリティで先を行く方法
オープンソースの脆弱性の一貫した増加は、オープンソースの一般的な使用がどのようになっているかを考慮して、組織が真正面から取り組む必要がある課題です。最も人気のあるプロジェクトを含む多数のオープンソースの脆弱性は圧倒的に思えるかもしれませんが、コミュニティがオープンソースのセキュリティを管理する方法を学ぶことは正しい方向への一歩です。
次のステップは、オープンソースのセキュリティ管理には、商用または独自のコンポーネントの保護とは異なるルール、ツール、およびプラクティスのセットが付属していることを受け入れることです。同じ脆弱性管理プログラムとツールに固執するだけでは、オープンソースのセキュリティ管理には役立ちません。
これらの違いに対処するオープンソースのセキュリティポリシーを採用し、管理を自動化する適切なテクノロジーを組み込むことで、セキュリティおよび開発チームはオープンソースの脆弱性という独自の課題に真正面から取り組み、優れたソフトウェアを構築するビジネスに立ち戻ることができます。