开源代码常见,潜在危险,在企业应用程序中

查看供应商软件供应链,检查其软件生命周期程序的成熟度

执行编辑,有个足球雷竞技app |

鳄鱼
seanliley [重新混合](cc by 2.0)

开源漏洞数据库关闭这一点一周为开发人员提出了另一种安全挑战,这些挑战是经常将大量释放的自由现货代码注入新软件。

顾名思义,OSVD是一个资源,非商业开发人员可以免费寻找 - 若要修补诸如已知漏洞。

+更多网络世界:有个足球雷竞技app10个最佳云SLA实践+

如果没有它,其他漏洞存储库仍然存在,但其闭包会指出使用开放源代码的使用情况之一,特别是在企业开发中:经常将其纳入应用程序,可能永远不会更新以修复稍后发现的漏洞。

这是一个很大的问题。“每个人都使用开源,”CEO Mark Curphey说萨利克莱尔,一个创业公司专注于保护开源软件,特别是对于企业开发人员来说。“百分之九十的代码可能是他们没有创造的东西。”

百分比实际上可能更接近75%,但这仍然很重要,黑鸭战略副总裁Mike Pittenger表示,其自动化平台帮助客户确保开放源代码仍然没有漏洞。

其他公司提供类似的服务,包括Whitesource,它处理在OSVD中编制的信息的商业使用。当易受攻击的代码添加到正在进行的软件项目或影响客户的现有软件时弹出漏洞时,它会发现客户的应用程序和警报中的开源组件。

+相关:开源安全性并不像曾经是一个重要的问题+

快速开发软件的紧迫性导致流行使用开源代码。它是可用的,通常是免费和审查的社区。但这种紧迫性可以导致稀疏记录关于使用哪些开源软件的版本,匹皮格说,即将企业安全专业人士猜测他们试图弄清楚他们的内部应用程序是多么脆弱。

除非开发人员记录他们以自动时尚使用的开放源代码,稍后编制信息将基本上是最好的猜测。“它只是作为开发团队的记忆只是准确的,”他说。

攻击者很清楚这种使用开源代码。例如,他们监控GitHub,以查看谁贡献了哪些代码,其代码有问题。然后,他们遵循跟随他们的人来了解他们正在努力的东西,希望他们将使用他们在Github上发现的一些脆弱的代码,曲线说。

最近,一个JavaScript编码器被勾选到他对他的软件包名称kik的挑战挑战从公共登记处取出所有开源贡献为依赖于它们的开发人员创造了广泛的问题。

屈尊喊道是那么大声的登记处,NPM.,反对编码者的愿望并重新发布了一个11行的代码,其缺席导致最大的麻烦。

至少在这种情况下解决了问题。但潜在的问题 - 在新软件中重用开源代码的例行实践 - 仍然存在。

这不仅仅是开源

他说,问题也延伸到商业软件,也应将供应商保持为高标准。他说,他们应该披露他们的软件中的开源,跟踪它并在发现新漏洞时发出修补程序。

在复杂应用中保持软件供应链的跟踪很重要。就在上个月研究人员发现了超过1,400个漏洞在网络化医疗供应柜中,由于其堆栈中的第三方软件,包括Microsoft Windows XP,Symantec PCAnywhere和SAP Crystal Reports 8.5。

保持轨道是如此重要的是本月晚些时候食品和药物管理局将开始工作最终规定草案对于医疗设备以及如何处理医疗设备发货后本身的软件漏洞。

代码安全问题可以扩展到流行的网络设备,甚至安全装备。着名的,杜松在12月宣布,它的网上屏幕齿轮已经回归和未经授权的代码注入操作系统。如何仍然是一个谜 - 至少对公众来说。未知方显然是故意安装后门,将其剥夺为威胁,但可利用的漏洞可能是编码差,质量保证或诚实错误不足的结果。

调查发生的事情应该涉及考察古怪呼叫代码遗传学 - 代码来自哪里,谁写了它。两者都需要检查,以确定它是如何发生的以及遗传学是否揭示了进一步的威胁。“这可能是一个流氓开发人员。如果是这样,那个开发人员触摸了什么?“他说。

这是软件安全的基础之一,但是修补程序通常被忽略或推迟,直到更方便的时间。John Pironti,IP架构师的总裁John Pironti表示,为攻击者留下了攻击者的机会窗口。

将Microsoft的补丁周二带走,这些补丁在月份地解决了未发现的弱点。他说,因为许多组织没有修补它会在周二的比赛中得到补丁。游戏是,“我可以快速撤销Microsoft修补程序吗?”他说。攻击者试图弄清楚修补程序正确的漏洞,创建方法来利用它们,然后在修补时寻求易受攻击的系统攻击。

他说,在瞻博网络的网上屏幕上,很可能使用齿轮的客户尚未安装补丁,并且不会长时间安装。“这将多年使用。”

有些步骤可以减少风险:

  • 了解您购买的软件中的开源或第三方是什么。
  • 请卖方记录他们如何监视他们正在使用的组件的持续健康以及它们如何修复缺陷。他们的软件开发生命周期计划如何,从出生到坟墓监控代码?
  • 如果使用商业第三方图书馆,是否有一个与供应商的SLA,以确保有错误的组件修补?
  • 是商业软件开发人员,使用静态和动态分析和威胁建模来检查其软件的可行性吗?
  • 设置有关哪些应用程序的优先级,并根据应用程序对业务的重要作用以及它们触摸的资源的价值来保持最密切的应用程序。

企业需要设置和维护持久的程序以将其软件升级和修补,因为修复程序可用。“安全是短暂的,”匹皮格说。“今天的扫描很好,但可以改变。”

当购买申请业务时应烧烤有关供应链的安全性的开发人员,他们如何屏蔽他们使用的代码以及他们的程序在客户手中修补他们的产品。“我们需要提高我们为软件供应商提供的期望,”Pironti说。

加入网络世界社区有个足球雷竞技appFacebook.linkedin评论是最重要的主题。
有关:

Tim Greene是网络世界的执行编辑。有个足球雷竞技app他可以到达tim_greene@idg.com.

版权所有©2016.Raybet2

IT薪水调查:结果是