Black Duck: растут риски открытого кода для безопасности бизнеса

Растущее распространение открытого кода повышает риски внесения уязвимостей в коммерческое ПО. Как сообщает портал TechTarget со ссылкой на исследование Black Duck, во многих базах кода была обнаружена уязвимость Apache Struts, которая в свое время позволила злоумышленникам проникнуть в сеть компании Equifax.

Исследование «2018 Open source security and risk analysis» (OSSRA), выполненное Black Duck by Synopsys, основано на анализе обезличенных данных из более чем 1,1 тыс. коммерческих баз кода в девяти отраслях, включая автомобилестроение, кибербезопасность, финансовые услуги и здравоохранение, которые были подвергнуты аудиту.

В связи с распространением открытого кода основная масса ПО содержит известные уязвимости, а условия лицензирования нарушаются, говорится в отчете.

Исследование выявило значительный рост распространения открытого кода. 96% просканированных приложений содержали компоненты открытого кода. В среднем число таких компонентов в 257 кодовых базах увеличилось на 75% по сравнению с предшествующим годом. Многие приложения содержат больше открытого кода, чем патентованного.

В 78% баз кода содержится по крайней мере одна уязвимость отрытого ПО, а в среднем их 64 на базу. Более 54% обнаруженных уязвимостей связаны с высоким риском.

Треть прошедших аудит баз кода, содержавших Apache Struts, имела также уязвимость, позволившую взломать сеть Equifax, а 17% содержали широко освещавшиеся уязвимости, такие как Heartbleed, Logjam, Freak, Drown или Poodle.

«Поскольку современное ПО и инфраструктура сильно зависят от технологий с открытым кодом, важнейшим элементом управления компанией является четкое представление об используемых компонентах, — сказал технический евангелист Black Duck Тим Макки. — Наш доклад ясно демонстрирует, что с расширением использования Open Source организациям следует позаботиться о наличии инструментов для выявления уязвимостей в компонентах с открытым кодом и управлять соблюдением любых условий лицензирования, которых может потребовать использование открытого кода».

Широкомасштабные последствия уязвимостей открытого кода

Во всех отраслях в приложениях были обнаружены уязвимые компоненты с открытым кодом. Самая высокая их доля оказалась у компании, создающей инфраструктуру Интернета и ПО — 67% приложений содержали связанные с высоким риском уязвимости в открытом коде.

Как ни парадоксально, 41% приложений в компании, специализирующейся на кибербезопасности, имели такие же уязвимости.

Организации позволяют растущему числу уязвимостей накапливаться в их базе кода. В среднем выявленные в результате аудита уязвимости известны уже почти шесть лет.

«Когда преступники проникли в сеть Equifax благодаря уязвимости в Apache Struts, необходимость управления безопасностью открытого кода стала очевидна, — сказал Эван Клайн, менеджер Black Duck по маркетингу продуктов, ответственный за подготовку OSSRA. — Однако хотя уязвимость Struts была раскрыта в марте 2017 г., многие организации, очевидно, все еще не проверили свои приложения на ее наличие».

Обилие нарушений лицензий

74% прошедших аудит баз кода содержали компоненты, лицензии на которые нарушены. Чаще всего речь идет о General Public License (GPL).

Доля приложений с лицензионными конфликтами сравнительно невелика у предприятий розничной торговли и электронной коммерции (61%) и составляет 100% у телекоммуникационных компаний и операторов беспроводной связи.

По мере изменения базы кода, говорится в докладе, в организации должно развиваться обеспечение защиты приложений, чтобы оно сохраняло свою эффективность.

В докладе утверждается, что никакая техника не способна выявить все уязвимости. Поэтому в дополнение к статическому и динамическому анализу кода организациям следует включить в свой арсенал анализ состава кода (software composition analysis, SCA).

«С добавлением SCA организации могут максимально эффективно обнаруживать уязвимости в компонентах с открытым кодом, какой бы лицензии ни требовало использование ими открытого кода», — говорится в докладе.

За счет интеграции политик, процессов и автоматизированных решений в жизненный цикл разработки ПО для идентификации, управления и защиты открытого кода организации способны максимизировать преимущества открытого кода, эффективно управляя рисками, связанными с его уязвимостями и лицензированием.