Безопасность приложений
Выявлены 10 основных рисков программного обеспечения с открытым исходным кодом - ICORE

Выявлены 10 основных рисков программного обеспечения с открытым исходным кодом

Open Web Application Security Project® (OWASP) — открытый проект по поиску приложений безопасности, все материалы которого получены бесплатно на веб-сайте некоммерческой организации OWASP® Foundation. Поставляемые материалы включают документацию, мероприятия, форумы, проекты, инструменты и видео, такие как OWASP Top 10, веб-протоколы OWASP CLASP и OWASP ZAP, а также сканер веб-приложений с исходным кодом.

OWASP важен для организаций, потому что его рекомендации высоко оценивают проверку безопасности корпоративных систем аудиторами. Рекомендации проекта по защите приложений необходимо включить в жизненный цикл разработки программного обеспечения и использовать для формирования политик безопасности.

Что такое отчет по топ-10 уязвимостей OWASP и как он работает?

OWASP Top 10 – это отчет или информационный документ, в котором перечислены основные проблемы, связанные с безопасностью веб-приложений. Он регулярно обновляется, чтобы постоянно отображать 10 наиболее серьезных рисков, с которыми сталкиваются организации. OWASP рекомендует всем компаниям учитывать выводы документа при построении корпоративных процессов, чтобы минимизировать и смягчить актуальные риски безопасности.

В рамках усилий по лучшему информированию групп кибербезопасности о проблемах, которые могут привести к компрометации цепочек поставок программного обеспечения, Endor Labs, поставщик платформ для управления программным обеспечением с открытым исходным кодом, опубликовал отчет, в котором определены 10 основных рисков программного обеспечения с открытым исходным кодом в 2023 году. Основная цель состоит в том, чтобы повысить осведомленность о проблемах безопасности приложений, возникающих из-за того, как разрабатывается программное обеспечение с открытым исходным кодом. Список включает:

Известные уязвимости: версия программного компонента может содержать уязвимый код, случайно добавленный его разработчиками. Когда сведения об уязвимости становятся общедоступными, патч может быть недоступен.

Неподдерживаемое программное обеспечение: компонент программного обеспечения может больше не разрабатываться активно, что приводит к тому, что исправления функциональных и нефункциональных ошибок не предоставляются своевременно или вообще не предоставляются.

Атаки с путаницей имен: Злоумышленники могут создавать компоненты, имена которых напоминают имена законных компонентов с открытым исходным кодом или системных компонентов, что также известно как опечатка. Они также могут пытаться подражать заслуживающим доверия авторам (Brandjacking) или играть с общими шаблонами именования в разных языках или экосистемах (комбо-сквоттинг).

Компрометация законного пакета: Злоумышленники могут скомпрометировать ресурсы, которые являются частью существующего законного проекта или связанной с ним инфраструктуры распространения, чтобы внедрить вредоносный код в программные компоненты.

Устаревшее программное обеспечение: проект может использовать старую, устаревшую версию программного компонента, даже если существует более новая и более безопасная версия.

Не отслеживаемые зависимости: разработчики могут не знать о зависимости от компонента, потому что он является частью другого используемого вышестоящего модуля.

Лицензионные риски. Программный компонент или проект может вообще не иметь лицензии или иметь лицензию, несовместимую с предполагаемым использованием, или требования которой не выполняются или не могут быть выполнены.

Незрелое программное обеспечение: в проекте с открытым исходным кодом могут не применяться передовые методы разработки, такие как наличие стандартной схемы управления версиями или отсутствие набора регрессионных тестов, руководств по проверке или документации.

Неутвержденные изменения: Программный компонент может измениться, и разработчики не смогут заметить, просмотреть или утвердить такие изменения, поскольку ссылка для скачивания указывает на неверсионный ресурс, злонамеренно измененный версионный ресурс или из-за небезопасной передачи данных.

Неизвестное происхождение: сведения об исходном коде, процессе сборки или распространения программного компонента могут быть неизвестны или не поддаются проверке.

Организациям требуется больше информации о потенциальных операционных рисках, связанных с увеличением использования программного обеспечения с открытым исходным кодом, поскольку все больше организаций сосредотачиваются на обеспечении безопасности своих цепочек поставок программного обеспечения после серии громких нарушений. Это не означает, что организациям следует использовать меньше программного обеспечения с открытым исходным кодом, но есть проблемы с кибербезопасностью, которые многие разработчики не всегда понимают. Например, недавний анализ почти 2000 программных пакетов, опубликованных Endor Labs, показал, что 95% всех уязвимостей приложений можно проследить до транзитивной зависимости, созданной, когда разработчик использовал компонент с открытым исходным кодом.

Независимо от первопричин любого риска кибербезопасности, ответственность за их снижение лежит на командах по кибербезопасности. Проблема заключается в историческом разрыве, который существует между командами кибербезопасности и разработчиками приложений, сговорившимися сделать оценку этих рисков серьезной проблемой. Сложность заключается в том, что невозможно оценить эти риски, не зная сначала, на чем должны сосредоточиться группы кибербезопасности.

Источник:
https://blog.barracuda.com/2023/03/06/top-10-open-source-software-risks-identfied/

Авторы: 
Mike Vizard

Перевод:
Галимова Э.И.