Scroll to top
en pl

Whitesource – bezpieczeństwo komponentów open source


Radoslaw Kosiec - 27 września 2019 - 0 comments

Bezpieczeństwo open source – dobra inwestycja

Komponenty open source są bardzo często wykorzystywane w produkcji nowoczesnych aplikacji. Wyniki badań pokazują, że na kodzie open source bazuje nawet 60-80% oprogramowania.

Pomimo że wiele programów w znacznej części opiera się na komponentach open source, a lista 10 najbardziej zagrożonych komponentów open source według OWASP jest powszechnie dostępna, kwestia bezpieczeństwa nadal jest zaniedbywana, a programiści bardzo często nie zdają sobie sprawy z tego, że w ich oprogramowaniu wykorzystywane są potencjalnie niebezpieczne komponenty.

Ryzyko korzystania z komponentów open source o znanych podatnościach znacząco wzrasta, ponieważ hakerzy świetnie zdają sobie sprawę z tego, jak mogą wykorzystać destrukcyjny potencjał leżący w niezabezpieczonych fragmentach kodu. To znaczy, że niektóre komponenty mogą być prawdziwą tykającą bombą w aplikacji.

Wyzwania bezpieczeństwa komponentów open-source

Technologie testowania bezpieczeństwa aplikacji, takie jak SAST, nie wykrywają luk w bezpieczeństwie otwartych komponentów. Do zapewnienia bezpieczeństwa komponentów open source potrzebne jest inne narzędzie, które zbiera publicznie dostępne informacje o źródłach open source jako zasoby do wykrywania i naprawiania potencjalnie niebezpiecznych fragmentów kodu.

Dobra wiadomość jest taka, że społeczność open source naprawdę dba o bezpieczeństwo swoich projektów. Jednakże zdecentralizowany charakter źródeł open source sprawia, że informacje o zagrożeniach rozprzestrzeniają się wśród wielu zasobów. Niektóre z nich są niemal niewykrywalne – przez to nie ma możliwości, aby zlokalizować je manualnie, porównując je z listą znanych zagrożeń w danej aplikacji.

Dodatkowym wyzwaniem jest problem zależności komponentów open source – ponieważ manualne śledzenie zwykle nie obejmuje zależności przechodnich, organizacje nie mają dokładnych informacji o tym z jakich komponentów open source korzystają w swoich produktach. Bez pełnej przejrzystości, firmy nie są w stanie wykryć wszystkich potencjalnie zagrożonych miejsc w kodzie, pozostawiając je bez niezbędnych zabezpieczeń.

Tylko zautomatyzowane narzędzia są w stanie ciągle monitorować źródła open source w aplikacji i alarmować o potencjalnych zagrożeniach w czasie rzeczywistym.

Dwa filary bezpieczeństwa komponentów open source 

Wykrywanie podatności

To proste – nie da się wyeliminować zagrożenia, którego nie jest się świadomym. Precyzyjne wykrywanie miejsc podatnych na zagrożenia jest niezbędne do zapewnienia bezpieczeństwa kodu, zwłaszcza w przypadku komponentów open source.

Priorytetyzacja faktycznych zagrożeń

Funkcja Analizy Faktycznego Zagrożenia w oprogramowaniu WhiteSource zmniejsza o 70% liczbę alertów o lukach w zabezpieczeniach. W ten sposób pomaga zespołom programistów ustalić kolejność naprawy fragmentów kodu, zaczynając od tych najbardziej zagrożonych. 

Koniec fałszywych alarmów

Dzięki odpowiednio dobranym algorytmom, istnieje możliwość dopasowania zgłoszonego zagrożenia do konkretnej biblioteki w kodzie. Fałszywe alarmy nie będą już pochłaniać czasu pracowników.

Kompleksowa baza danych

Baza danych WhiteSource zapewnia największy zbiór zagrożeń, wspierając ponad 200 języków programowania i nieustannie monitorując wszystkie bazy podatności (także CVE/NVD) oraz dostarcza szeroki wachlarz porad dotyczących bezpieczeństwa i pozwala na monitorowanie zagrożeń w popularnych projektach open source.

Eliminacja podatności

Wyzwania stojące przed systemami eliminacji luk w bezpieczeństwie są złożone. Po pierwsze najważniejszy jest czas – hakerzy docierają do podatnych fragmentów kodu szybciej niż kiedykolwiek, zwłaszcza w przypadku popularnych projektów open source. Po drugie dla programistów trudne jest łatanie luk w zabezpieczeniach kodu, którego nie pisali od podstaw lub dobrze go nie znają.

Precyzyjne wskazanie zagrożenia

WhiteSource zapewnia pełną analizę, określając potencjalnie zagrożone funkcje w kodzie i określając możliwy sposób wykorzystania tej luki w aplikacji. Te informacje znacznie zmniejszają poziom wysiłku jaki musiałby zostać włożony w manualne zlokalizowanie niebezpiecznego komponentu.

Sugerowane ulepszenia

Poza wyszukiwaniem luk w zabezpieczeniach zgłaszanych w społeczności open source, WhiteSource opisuje także ich możliwości naprawcze, bazując na zaleceniach społeczności open source. Począwszy od linków do łatek do nowych wersji, zaleceń dotyczących konfiguracji systemu, a kończąc na blokowaniu określonych funkcji – wszystkie opcje do wyboru są dostępne w jednym miejscu.

Automatyzacja przepływów pracy

Automatyczne inicjowanie tworzenia zgłoszeń dla nowo odkrytych luk lub ostatnio dodanych podatnych komponentów i przypisywanie elementów akcji, aby zapewnić efektywne monitorowanie i naprawę komponentów na wszystkich poziomach.

Automatyzacja to klucz do sukcesu

SDLC – egzekwowanie wymogów bezpieczeństwa

WhiteSource umożliwia automatyczne ustalanie i egzekwowanie wymogów dotyczących bezpieczeństwa, jakości i polityki licencyjnej, w celu zablokowania potencjalnie niebezpiecznych lub problematycznych fragmentów oprogramowania i uzyskania pełnej kontroli nad wszystkimi komponentami open source wykorzystywanymi w projekcie.

Automatyzacja kontroli minimalnych wymagań zmniejsza liczbę nowych komponentów, które musiałyby zostać sprawdzone manualnie, o 75-90%. Takie rozwiązanie znacznie przyspiesza proces wytwarzania oprogramowania i pozwala programistom skupić się na tworzeniu produktu dobrej jakości.

Bezpieczeństwo z każdej strony

Funkcja shifting left pomaga zespołom zmniejszyć koszty i skrócić czas napraw poprzez wykrycie problemów na wcześniejszym etapie projektu. Jeśli chodzi o komponenty open source, oprogramowanie WhiteSource pomaga w tym programistom informując ich o niebezpiecznych komponentach już podczas przeszukiwania sieci www za pomocą rozszerzenia WhiteSource do wyszukiwarek – the Web Advisor.

Podejście „shift right” jest jeszcze bardziej krytyczne, jeśli chodzi o komponenty open source, ponieważ bardzo często luki w projektach open source są odkrywane dopiero wiele lat po ich wydaniu. To właśnie dlatego oprogramowanie WhiteSource automatycznie monitoruje wszystkie najnowsze wersje programów open source i sprawdza je pod kątem zabezpieczeń, a w przypadku wykrycia zagrożenia natychmiast informuje o nim użytkownika.

Integracja potoku CI/CD z bezpieczeństwem komponentów open source

WhiteSource integruje się z wszystkimi popularnymi platformami do tworzenia i testowania oprogramowania, co znacząco przyspiesza i automatyzuje proces doboru komponentów open source, wykrywania zgodności i łatania luk w zabezpieczeniach komponentów open source.

Czy chcesz dowiedzieć się więcej o funkcjach i możliwościach Whitesource? Napisz do nas – chętnie odpowiemy na wszystkie pytania.

Related posts