Firma zajmująca się bezpieczeństwem Black Duck Software zajmowała się komponentami oprogramowania komercyjnego typu open source w imieniu IBM i teraz ostrzega, że wciąż są w nich dziesiątki starych błędów. Nawet dobrze znane luki, takie jak Heartbleed i Poodle, nie zostały naprawione w około 10 procentach programów. 40 procent zaobserwowanych podatności zostało ocenionych jako stopień ważności 7 lub wyższy zgodnie z systemem oceny podatności Common Vulnerability Scoring System.
Dane zostały zebrane dla IBM Security AppScan. W okresie sześciu miesięcy do marca 2016 r. firma Black Duck przeanalizowała w tym celu około 200 aplikacji komercyjnych. Zawierały one średnio ponad 100 komponentów open source. Jednak na początku takiego testu dostawcy zazwyczaj znają tylko około połowy tych komponentów.
Ten brak informacji ma oczywiście wpływ na politykę aktualizacji: nieznane komponenty nie są łatane, co zwiększa prawdopodobieństwo znalezienia w nich starych błędów.
W sumie 67 procent aplikacji zawierało podatne na ataki komponenty open source. Przeciętnie Black Duck był w stanie określić obecność pięciu komponentów ze znanymi podatnościami, które jednak wykazywały więcej podatności: Średnia liczba niezałatanych luk wyniosła 22,5 na aplikację.
Ankieta
Znalezione luki miały średnio około pięciu lat. „Wskazuje to, że firmy nie wiedziały o lukach, albo dlatego, że nie wiedziały o obecności komponentu, albo dlatego, że nie wykorzystywały publicznie dostępnych zasobów w celu wykrycia luk” — czytamy w raporcie.
Wiceprezes Mike Pittenger, odpowiedzialny za strategię produktową Black Duck, powiedział, że problemem nie jest w żadnym wypadku korzystanie z oprogramowania open source. Raczej ich zastosowanie nie jest dostatecznie znane, a firmy nie informują się wystarczająco o nowych słabych punktach.
Samsung Galaxy TabPro S w teście
Publikując dane, IBM wskazuje, że wraz z Black Duck oferuje rozwiązanie do identyfikowania, naprawiania i kontrolowania komponentów open source oraz ich słabości. Klienci mogą badać swoje aplikacje za pomocą IBM AppScan, a następnie korzystać z centrum Black Duck Hub, aby stale informować ich, których aplikacji dotyczy nowo wykryta luka w zabezpieczeniach. Oczywiście możesz również od samego początku dokładnie udokumentować użycie komponentów OSS i aktualizować je, gdy dostępna jest poprawka.
[z materiałem od Liama Tunga, ZDNet.com]
Wskazówka: Jak dobrze wiesz o open source? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de
Leave a Reply