• Pierwsza strona
  • O nas
  • Polityka prywatności

Ochroniarz Danych

  • Ochrona Danych
  • Wirus Profilaktyka
  • Backup Danych

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

August 30,2021 By Majewski Tomasz Leave a Comment

Share
Share on Facebook
Tweet
Tweet this
Pin
Pin this
0 Share
Share on LinkedIn0 shares on LinkedIn

Firma zajmująca się bezpieczeństwem Black Duck Software zajmowała się komponentami oprogramowania komercyjnego typu open source w imieniu IBM i teraz ostrzega, że ​​wciąż są w nich dziesiątki starych błędów. Nawet dobrze znane luki, takie jak Heartbleed i Poodle, nie zostały naprawione w około 10 procentach programów. 40 procent zaobserwowanych podatności zostało ocenionych jako stopień ważności 7 lub wyższy zgodnie z systemem oceny podatności Common Vulnerability Scoring System.

Dane zostały zebrane dla IBM Security AppScan. W okresie sześciu miesięcy do marca 2016 r. firma Black Duck przeanalizowała w tym celu około 200 aplikacji komercyjnych. Zawierały one średnio ponad 100 komponentów open source. Jednak na początku takiego testu dostawcy zazwyczaj znają tylko około połowy tych komponentów.

Ten brak informacji ma oczywiście wpływ na politykę aktualizacji: nieznane komponenty nie są łatane, co zwiększa prawdopodobieństwo znalezienia w nich starych błędów.

W sumie 67 procent aplikacji zawierało podatne na ataki komponenty open source. Przeciętnie Black Duck był w stanie określić obecność pięciu komponentów ze znanymi podatnościami, które jednak wykazywały więcej podatności: Średnia liczba niezałatanych luk wyniosła 22,5 na aplikację.

Ankieta

Znalezione luki miały średnio około pięciu lat. „Wskazuje to, że firmy nie wiedziały o lukach, albo dlatego, że nie wiedziały o obecności komponentu, albo dlatego, że nie wykorzystywały publicznie dostępnych zasobów w celu wykrycia luk” — czytamy w raporcie.

Wiceprezes Mike Pittenger, odpowiedzialny za strategię produktową Black Duck, powiedział, że problemem nie jest w żadnym wypadku korzystanie z oprogramowania open source. Raczej ich zastosowanie nie jest dostatecznie znane, a firmy nie informują się wystarczająco o nowych słabych punktach.

Samsung Galaxy TabPro S w teście

Publikując dane, IBM wskazuje, że wraz z Black Duck oferuje rozwiązanie do identyfikowania, naprawiania i kontrolowania komponentów open source oraz ich słabości. Klienci mogą badać swoje aplikacje za pomocą IBM AppScan, a następnie korzystać z centrum Black Duck Hub, aby stale informować ich, których aplikacji dotyczy nowo wykryta luka w zabezpieczeniach. Oczywiście możesz również od samego początku dokładnie udokumentować użycie komponentów OSS i aktualizować je, gdy dostępna jest poprawka.

[z materiałem od Liama ​​Tunga, ZDNet.com]

Wskazówka: Jak dobrze wiesz o open source? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

success!!!
Failed!!!

Primary Sidebar

Search

popularne artykuły

Nowy początek: Huawei Nova 9 i Nova 8i w Polsce

Nowy początek: Huawei Nova 9 i Nova 8i w Polsce

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Popularne informacje

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Firma Microsoft ogólnie udostępnia usługę Cloud App Security Service

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Adobe zamyka 23 krytyczne luki we Flash Playerze

Adobe zamyka 23 krytyczne luki we Flash Playerze

Najpopularniejsze artykuły

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Logjam: nowa luka w zabezpieczeniach osłabia szyfrowanie połączeń HTTPS

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Badanie: Oprogramowanie komercyjne jest pełne starych luk typu open source

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Atak ransomware: WannaCrypt atakuje ponad 100 000 komputerów z systemem Windows

Adobe zamyka 23 krytyczne luki we Flash Playerze

Adobe zamyka 23 krytyczne luki we Flash Playerze

Copyright © 2022 Ochroniarz Danych. All rights reserved.