Contente
- Código aberto em qualquer lugar
- Vulnerabilidades de código aberto: os resultados estão chegando
- Qual é o mais vulnerável de todos?
- Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
- O oeste selvagem das vulnerabilidades de código aberto
- A comunidade de código aberto está no topo da segurança - agora os usuários precisam se atualizar
- Como avançar na segurança de código aberto
Leve embora:
Os componentes de código aberto são uma ótima maneira de criar software, mas as vulnerabilidades dentro deles podem colocar em risco toda a organização. Conheça os riscos e mantenha-se atualizado sobre as soluções de segurança de código aberto para proteger você e sua empresa.
À medida que as equipes de desenvolvimento correm para acompanhar o ritmo competitivo da produção de software, os componentes de código aberto se tornaram parte integrante da caixa de ferramentas de todos os desenvolvedores, ajudando-os a criar e enviar produtos inovadores na velocidade do DevOps.
O aumento consistente no uso de código aberto, juntamente com violações de dados que chamam a atenção, como a violação Equifax que explorou vulnerabilidades em componentes de código aberto, pode finalmente ter organizações prontas para gerenciar a segurança de código aberto e abordar o Velho Oeste das vulnerabilidades de código aberto. A questão é, porém, se eles sabem por onde começar. (Para saber mais, consulte Qualitativo versus quantitativo: hora de mudar Como avaliamos a gravidade das vulnerabilidades de terceiros?)
Código aberto em qualquer lugar
A WhiteSource publicou recentemente o Relatório de gerenciamento de vulnerabilidades de código aberto para fornecer informações para ajudar as organizações a entender melhor como abordar a segurança de código aberto. De acordo com o relatório, que incluiu os resultados de uma pesquisa sobre o uso de código aberto realizada entre 650 desenvolvedores dos EUA e da Europa Ocidental, 87,4% dos desenvolvedores confiam nos componentes de código aberto "com muita frequência" ou "o tempo todo. Outros 9,4% responderam que “às vezes” usam componentes de código aberto. O que se destacou foi que apenas 3,2% dos participantes responderam que nunca usam código aberto, o que provavelmente foi resultado da política da empresa.
Esses números provam claramente, sem sombra de dúvida, que um desenvolvedor que trabalha em um projeto de software provavelmente está aproveitando os componentes de código aberto.
Vulnerabilidades de código aberto: os resultados estão chegando
O relatório também se aprofundou no banco de dados de código aberto WhiteSource, que é agregado a partir do National Vulnerability Database (NVD), avisos de segurança, bancos de dados de vulnerabilidades revisados por pares e rastreadores populares de problemas de código aberto, para aprender sobre as vulnerabilidades de código aberto necessárias para as equipes de desenvolvimento lidar com.
Os resultados mostraram que o número de vulnerabilidades conhecidas de código aberto atingiu o nível mais alto em 2017, com quase 3.500 vulnerabilidades. Isso representa um aumento de mais de 60% no número de vulnerabilidades de código aberto divulgadas em comparação a 2016, e a tendência não mostra sinais de desaceleração em 2018.
Qual é o mais vulnerável de todos?
A pesquisa também investigou o banco de dados para encontrar os projetos de código aberto mais vulneráveis e apresentou resultados surpreendentes. Embora 7,5% de todos os projetos de código aberto sejam vulneráveis, 32% dos 100 principais projetos de código aberto mais populares têm pelo menos uma vulnerabilidade.
Embora uma vulnerabilidade seja suficiente para colocar em risco várias bibliotecas, um projeto de código aberto vulnerável contém uma média de oito vulnerabilidades. Isso significa que os projetos de código aberto mais populares também são os que apresentam maior vulnerabilidade.
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.
Esse insight fica ainda mais claro quando analisamos a lista dos 10 principais projetos de código aberto com o maior número de vulnerabilidades de código aberto. A lista dos 10 principais inclui projetos de código aberto extremamente populares que muitos de nós estamos usando.
Esses projetos têm mais de uma coisa em comum: a maioria deles é voltada para a Internet, componentes de front-end com amplas superfícies de ataque muito expostas, tornando-os relativamente fáceis de explorar. É por isso que eles atraem muita atenção da comunidade de pesquisa de segurança de código aberto.
Outro aspecto que muitos desses projetos compartilham é que a maioria é apoiada por empresas comerciais. Dadas as apostas e os recursos por trás deles, pode-se perguntar: Como os projetos apoiados por esses grandes players podem ser tão vulneráveis?
O oeste selvagem das vulnerabilidades de código aberto
No passado, a descoberta de vulnerabilidades de código aberto despertava um intenso debate sobre se os componentes de código aberto são mantidos suficientemente bem para serem seguros para uso. Felizmente, esses dias acabaram e hoje sabemos que o aumento das vulnerabilidades relatadas de código aberto demonstra com que rapidez a comunidade de código aberto e a comunidade de segurança estão respondendo para acompanhar o cenário de ameaças.
O crescimento exponencial da comunidade de código-fonte aberto, juntamente com a descoberta tardia de vulnerabilidades notórias de código-fonte aberto em componentes amplamente populares, como aqueles que permitiram o desenvolvimento do Heartbleed, trouxeram uma maior conscientização sobre a segurança do código-fonte aberto e um exército de pesquisadores que analisam o código-fonte aberto projetos de vulnerabilidades, bem como uma rápida recuperação de correções.
De fato, o relatório WhiteSource constatou que 97% de todas as vulnerabilidades relatadas têm pelo menos uma correção sugerida na comunidade de código aberto, com atualizações de segurança geralmente publicadas poucos dias após a publicação de uma vulnerabilidade. (Para saber mais sobre código aberto, consulte Código aberto: é bom demais para ser verdade?)
A comunidade de código aberto está no topo da segurança - agora os usuários precisam se atualizar
Embora a colaboração e os esforços da comunidade de código aberto para melhorar a segurança do código aberto estejam mostrando resultados em termos de descoberta de vulnerabilidades, divulgação e correções rápidas, é difícil para os usuários acompanharem, devido à natureza descentralizada da comunidade de código aberto.
Quando os desenvolvedores usam componentes comerciais de software, as atualizações de versão fazem parte do serviço pelo qual pagam e os fornecedores podem ser bastante insistentes em garantir que você o veja.
Não é assim que o código aberto funciona. Dados do WhiteSource que mostraram que apenas 86% das vulnerabilidades de código aberto relatadas aparecem no banco de dados do CVE. Isso ocorre porque a natureza colaborativa e descentralizada da comunidade de código aberto significa que as informações e atualizações sobre vulnerabilidades de código aberto são publicadas em centenas de recursos. É impossível rastrear esse tipo de informação manualmente, principalmente quando consideramos o volume de uso de código aberto.
Como avançar na segurança de código aberto
O aumento consistente das vulnerabilidades de código aberto é um desafio que as organizações devem enfrentar de frente, considerando o quão comum o uso de código aberto se tornou. Embora o alto número de vulnerabilidades de código aberto, incluindo os projetos mais populares, possa parecer esmagador, aprender como a comunidade gerencia a segurança de código aberto é um passo na direção certa.
A próxima etapa é aceitar que o gerenciamento de segurança de código aberto venha com um conjunto diferente de regras, ferramentas e práticas do que proteger componentes comerciais ou proprietários. A adesão aos mesmos programas e ferramentas de gerenciamento de vulnerabilidades não ajudará no gerenciamento de segurança de código aberto.
A adoção de uma política de segurança de código aberto que resolva essas diferenças e a incorporação das tecnologias certas para automatizar seu gerenciamento ajudará as equipes de segurança e desenvolvimento a enfrentar os desafios exclusivos das vulnerabilidades de código aberto, permitindo que eles voltem ao negócio de criar um ótimo software.