Sa zastarjelim i neadekvatno održavanim komponentama, zajedno sa nesigurnim zavisnostima, ekosistem open source predstavlja brojne rizike koji bi organizacije mogli izložiti prijetnjama. U ovom tekstu ćete pronaći izvode iz sigurnosnih izvještaja open source iz 2024. koji mogu pomoći vašoj organizaciji da ojača svoje prakse sigurnosti softvera.
70% komponenti open source se loše ili više ne održava
Bez obzira na geografsko porijeklo, prosječna aplikacija srednje veličine ima nekoliko uznemirujućih trendova koji dovode do kritičnih ranjivosti. Open source doprinosi 2 do 9 puta većem kodu koji pišu vaši programeri, a 95% sigurnosnih slabosti potiče od zavisnosti od paketa open source. 51% ovih ranjivosti, na svim nivoima ozbiljnosti CVE, nema poznatih popravki.
Plaćeni održavaoci open source troše više vrijeme na sigurnost
Plaćeni održavaoci imaju 55% veću vjerovatnoću da će implementirati kritične sigurnosne prakse i prakse održavanja nego neplaćeni održavači i posvećuju više vremena implementaciji sigurnosnih praksi poput onih uključenih u industrijske standarde kao što su OpenSSF Scorecard i NIST Secure Software Development Framework (SSDF).
Trendovi i opasnosti u zavisnosti od softvera open source
Da bi se ranjivost u biblioteci open source mogla iskoristiti, mora postojati, barem, putanja poziva od aplikacije do ranjive funkcije u toj biblioteci. Izveštaj otkriva da je to tačno za manje od 9,5% svih ranjivosti u sedam istraženih jezika—Java, Python, Rust, Go, C#, .NET, Kotlin i Scala. Istraživanje takođe usmjerava pažnju na brzinu odgovora na nove rizike. Otkriva da se skoro 70% upozorenja o ranjivosti objavljuje nakon odgovarajućeg sigurnosnog izdanja, sa srednjim kašnjenjem od 25 dana.
Većina tokova rada GitHub Actions je na neki način nesigurna
Legit je otkrio sigurnosni status akcija koje je razvila zajednica kako bi poboljšala mogućnosti GitHub Actions. Od 19.113 prilagođenih GitHub akcija na tržištu, samo 913 su kreirali provjereni korisnici GitHub-a; 18% je imalo ranjive zavisnosti; 762 su arhivirani i ne primaju redovna ažuriranja; prosječan sigurnosni rezultat OSSF-a bio je 4,23 od 10; a većinu njih održava jedan programer.
90% otkrivenih tajni na GitHubu ostaje aktivno najmanje pet dana
Sve veći broj spremišta koda na GitHub-u, sa 50 miliona novih spremišta dodanih u prošloj godini (+22%), povećava rizik od slučajnog i namjernog izlaganja osjetljivih informacija. Istraživanje baca svjetlo na važan sigurnosni jaz: nakon otkrivanja otkrivene važeće tajne, 90% njih ostaje aktivno najmanje pet dana, čak i nakon što je autor obaviješten.
Izvor:Help Net Security