你的代码里有什么?为什么你需要的材料,软件法案

当开发人员和供应商仔细列出用于构建应用程序的工具和包含哪些第三方组件时,它可以改进软件补丁和更新

贡献者,信息世界 |

肖像历史

编写安全的应用程序并不意味着简单地检查您编写的代码以确保没有逻辑错误或编码错误。攻击者越来越多地将第三方库中的漏洞作为攻击的一部分,因此您也必须检查所有依赖项和组件的安全性。

在制造业中,公司创建的材料清单,详细列出所有项目建设产品时,包括让购房者知道究竟他们购买。加工食品的包装,例如,通常会告诉你里面有什么,这样你就可以做出明智的购买决策。

当涉及到软件,解开代码知道是什么库使用和依赖关系存在是很难的。这是一个挑战,大多数IT团队没有解开的时间或资源。

“你不想购买变质食品,买一辆汽车有缺陷的空气袋,或有一个亲戚收到有缺陷的心脏起搏器,”德里克周,副总裁,并在DEVOPS Sonatype的,软件供应链自动化提供商主张。然而,令人惊讶的,我们不要求相同的规则的软件。

告诉我里面有什么

最起码,材料软件法案应说明每个组件包含在应用程序中使用的组件的版本和内部组件,以及许可证类型。

举一个例子,IT管理员将不得不在2014年4月一个容易得多的时间回来的时候心脏出血漏洞漏洞最初披露,如果他们想了材料清单上的手在他们的环境中运行的所有应用程序。相反,检测每一个应用程序,以确定是否的OpenSSL被列入的,它可能有检查清单和已知马上哪些依赖于易受攻击的版本,需要行动。

另外还有个不错的到了信息将会像在源代码中的位置,其中该组件被调用,用于构建应用程序的所有工具的列表,以及相关的构建脚本的详细信息。

今天的开发人员严重依赖于开源和其他第三方组件,估计一个应用程序的80%到90%可能由其他人编写的代码组成。根据Sonatype收集的统计数据,平均每个应用程序有106个组件。如果问题出在其中一个部件上,那就无关紧要了。组织负责整个软件链,如果库中的漏洞导致安全事故,组织就会陷入困境。

黑盒

当组织购买软件时——无论是商业的还是开源的——他们对于使用的组件只有有限的可见性。特别勤奋的团队可能会查看代码,看看包含了哪些库,但是库可以调用其他组件,并且很容易深入两层以上。

软件安全公司Sourceclear的首席执行官Mark Curphey说:“人们甚至不确定他们在使用什么,特别是当图书馆调用他们甚至不知道的其他图书馆的时候。”

根据Sonatype的《2016年软件供应链状况报告》,在开发团队使用的16个组件中,多达一个组件存在已知的安全缺陷。威克斯说,这相当于有6%的汽车零部件有缺陷,但没人知道是哪个零部件或谁提供的。车主不会接受这个答案,软件所有者也不应该接受。

一些软件买家正在表明立场。例如,埃克森美孚和梅奥诊所(Mayo Clinic)都要求软件供应商提供一份软件材料清单,以发现潜在的安全和许可问题,或者该应用程序是否使用了过时的库版本。

当发现此类问题时,管理员可以要求供应商使用较新的版本重新构建应用程序。在等待更新的软件时,它有机会加入临时缓解措施,以保护应用程序免受攻击者的攻击。软件材料清单还可以帮助管理员在发现漏洞或核心库(如OpenSSL)发布新版本时对应用程序和代码进行抽查。

仅仅因为一个组件没有在目前任何已知的bug并不是其安全性的争论。一些组件可能是在最新的版本,但有几个岁。如果管理员和开发人员有正确的信息,他们可以决定他们是否希望使用含旧,可能不支持,组件的应用程序的风险。

类似,但不同的程序

了解正在使用哪些组件不仅是一个开源软件的问题。几个正在努力建立认证和测试实验室专注于软件的安全性。不同的材料清单,这有助于维护和更新的顶级软件业主入住,这些努力侧重于帮助买家的购买决定。

保险商实验室今年早些时候推出了自愿网络安全保证计划(UL CAP)的事情和关键基础设施供应商网络评价针对一组安全标准,其产品的安全漏洞和弱点。UL CAP可作为重要的基础设施和物联网设备的买家采购工具。ICSA实验室有关于它们如何处理警报/日志,加密,认证,通信,物理安全和平台安全测试物联网设备中的相似物联网认证测试程序。的ICSA实验室认证意味着该产品进行了测试程序和漏洞和薄弱环节进行了固定。

在线信任联盟有一个物联网信任框架,这是一套规范物联网制造商应该遵循,以建立安全和隐私——如独特的密码、加密通信和补丁机制——到他们的连接设备。该框架最终将成为一个全球认证项目,但目前,它更多的是关于正确操作的指导。

在今年的黑帽大会上,著名黑客Mudge Peiter Zatko和Sarah Zatko公布了一个消费者报告风格的评级系统——网络独立测试实验室,以衡量各种应用程序的相对安全性和使用难度。CITL的方法包括查找已知的坏函数和应用程序使用它们的频率,以及比较调用好函数和调用坏函数的频率。

“我们作为安全从业人员往往侧重于利用性,但作为一个产品的消费者,他们几乎总是会说disruptability是什么困扰他们,” Zatko他的演讲时说。该计划是在2017年底推出的大型模糊的效果。

跟踪更好的安全性成分

攻击者在组件将其重点上游看,因为目标库漏洞给了他们更多的受害者不是把重点放在只有一个单一的应用程序。在Apache的共同核心序列化的缺陷是这种缺陷如何可以错过一个很好的例子。管理员可以认为有什么可担心的,因为组织不使用JBoss的,没有意识到他们依靠可利用的脆弱收集代码,容易受到其他应用程序。

材料的软件清单帮助管理员获得应用程序中使用的组件的可见性,并发现潜在的安全性和许可问题。更重要的是,管理员可以使用该列表来抽查应用程序和来自供应商的代码,以准确地查看潜在的漏洞和弱点,并及时推出补丁。

这个故事,“是什么在你的代码吗?为什么你需要的材料,软件法案”最初发表信息世界

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
相关:

Fahmida Y.拉希德是一个自由作家谁写的CSO,专注于信息安全。

版权©2016Raybet2

IT薪资调查:结果在