סיקיורינג עפֿן מקור אין 2025 און ווייַטער: אַ ראָאַדמאַפּ פֿאַר פּראָגרעס

עס איז געווען איבער דריי יאָר זינט Log4Shell, אַ קריטיש וואַלנעראַביליטי אין אַ קליין-באקאנט אָפֿן-מקור ביבליאָטעק, איז געווען דיסקאַווערד. מיט אַ CVSS כעזשבן פון 10, זיין קאָרעוו ומעטומיק און יז פון עקספּלויטיישאַן סינגגאַלד עס ווי איינער פון די מערסט ערנסט ווייכווארג פלאָז פון די יאָרצענדלינג. אָבער אפילו יאָרן נאָך עס איז געווען פּאַטשט, מער ווי איין אין 10 דאַונלאָודז פון די פאָלקס נוצן זענען שפּירעוודיק ווערסיעס. עפּעס איז קלאר פאַלש ערגעץ.

א נייַ באַריכט פון די לינוקס וויקיפּעדיע האט עטלעכע נוציק ינסייט אין די סיסטעמיק טשאַלאַנדזשיז פייסינג די אָפֿן-מקור יקאָוסיסטאַם און זייַן ניצערס. צום באַדויערן, עס זענען קיין גרינג סאַלושאַנז, אָבער סוף יוזערז קענען בייַ מינדסטער פאַרמינערן עטלעכע פון ​​​​די מערסט פּראָסט ריסקס דורך די בעסטער פּראַקטיסיז פון די ינדאַסטרי.

א קאַטאַסטראָפיק פאַל לערנען

אָפֿן מקור ווייכווארג קאַמפּאָונאַנץ זענען אומעטום - אפילו פּראַפּרייאַטערי קאָד דעוועלאָפּערס פאַרלאָזנ זיך זיי צו פאַרגיכערן DevOps פּראַסעסאַז. לויט צו איין אָפּשאַצונג, 96% פון אַלע קאָדעבאַסעס אַנטהאַלטן אָפֿן-מקור קאַמפּאָונאַנץ, און דריי-פערטל אַנטהאַלטן הויך-ריזיקירן אָפֿן מקור וואַלנעראַביליטיז. געגעבן אַז אַפּראָוטשינג זיבן טריליאַן קאַמפּאָונאַנץ זענען דאַונלאָודיד אין 2024, דאָס גיט אַ ריזיק פּאָטענציעל ריזיקירן פֿאַר סיסטעמען איבער דער וועלט.

Log4j איז אַ ויסגעצייכנט פאַל לערנען פון וואָס קען גיין פאַלש. עס כיילייץ אַ הויפּט וויזאַביליטי אַרויסרופן אין אַז ווייכווארג כּולל ניט בלויז "דירעקט דיפּענדאַנסיז" - דאָס הייסט, אָפֿן מקור קאַמפּאָונאַנץ וואָס אַ פּראָגראַם בפירוש רעפערענצן - אָבער אויך טראַנזיטיוו דיפּענדאַנסיז. די יענער זענען נישט ימפּאָרטיד גלייַך אין אַ פּרויעקט, אָבער זענען געניצט מינאַצאַד דורך אַ ווייכווארג קאָמפּאָנענט. אין פאַקט, זיי זענען דיפּענדאַנסיז פון דירעקט דיפּענדאַנסיז. ווי גוגל דערקלערט אין דער צייט, דאָס איז געווען די סיבה וואָס אַזוי פילע Log4j ינסטאַנסיז זענען נישט דיסקאַווערד.

"די דיפּער די וואַלנעראַביליטי איז אין אַ דעפּענדענסי קייט, די מער סטעפּס זענען פארלאנגט פֿאַר עס צו זיין פאַרפעסטיקט," עס באמערקט.

סאָנאַטיפּע קטאָ ברייאַן פאָקס דערקלערט אַז "נעבעך דעפּענדענסי פאַרוואַלטונג" אין פירמס איז אַ הויפּט מקור פון אָפֿן-מקור סייבערסעקוריטי ריזיקירן.

"Log4j איז אַ גרויס בייַשפּיל. מיר געפֿונען 13% פון Log4j דאַונלאָודז זענען פון שפּירעוודיק ווערסיעס, און דאָס איז דריי יאָר נאָך די פּאַטשט פון Log4Shell, "ער דערציילט ISMS.online. "דאָס איז אויך נישט אַן אַרויסגעבן יינציק צו Log4j - מיר קאַלקיאַלייטיד אַז אין די לעצטע יאָר, 95% פון שפּירעוודיק קאַמפּאָונאַנץ דאַונלאָודיד האָבן שוין אַ פאַרפעסטיקט ווערסיע בנימצא."

אָבער, אָפֿן מקור ריזיקירן איז ניט נאָר וועגן פּאָטענציעל וואַלנעראַביליטיז אין שווער-צו-געפינען קאַמפּאָונאַנץ. סאַקאָנע אַקטערז זענען אויך אַקטיוולי פּלאַנטינג מאַלוואַרע אין עטלעכע אָפֿן-מקור קאַמפּאָונאַנץ, כאָופּינג זיי וועלן זיין דאַונלאָודיד. סאָנאַטיפּע דיסקאַווערד 512,847 בייזע פּאַקאַדזשאַז אין די הויפּט אָפֿן-מקור יקאָוסיסטאַמז אין 2024, אַ 156% יערלעך פאַרגרעסערן.

סיסטעמיק טשאַלאַנדזשיז

Log4j איז בלויז דער שפּיץ פון די ייסבערג אין פילע וועגן, ווי אַ נייַע לינוקס באַריכט ריווילז. עס ווייזט צו עטלעכע באַטייַטיק ינדאַסטרי-ברייט טשאַלאַנדזשיז מיט אָפֿן-מקור פּראַדזשעקס:

לעגאַט טעכנאָלאָגיע: פילע דעוועלאָפּערס פאָרזעצן צו פאַרלאָזנ זיך אויף פּיטהאָן 2, כאָטש פּיטהאָן 3 איז באַקענענ אין 2008. דאָס קריייץ קאַפּויער ינקאַמפּאַטאַבילאַטי ישוז און ווייכווארג פֿאַר וואָס פּאַטשאַז זענען ניט מער בנימצא. עלטערע ווערסיעס פון ווייכווארג פּאַקאַדזשאַז אויך אָנהאַלטן אין יקאָוסיסטאַמז ווייַל זייער ריפּלייסמאַנץ אָפט אַנטהאַלטן נייַע פאַנגקשאַנאַליטי, וואָס מאכט זיי ווייניקער אַטראַקטיוו פֿאַר יוזערז.

א פעלן פון סטאַנדערדייזד נאַמינג סטשעמאַ: נאַמינג קאַנווענשאַנז פֿאַר ווייכווארג קאַמפּאָונאַנץ זענען "יינציק, ינדיווידזשואַלייזד און סתירה", לימאַטינג ינישאַטיווז צו פֿאַרבעסערן זיכערהייט און דורכזעיקייַט.

א לימיטעד בעקן פון מיטארבעטערס:

"עטלעכע וויידלי געוויינט OSS פּראַדזשעקס זענען מיינטיינד דורך אַ איין יחיד. ווען ריוויוינג די שפּיץ 50 ניט-נפּם פּראַדזשעקס, 17% פון פּראַדזשעקס האָבן איין דעוועלאָפּער, און 40% האָבן איין אָדער צוויי דעוועלאָפּערס וואָס האָבן אַקאַונאַד פֿאַר בייַ מינדסטער 80% פון די קאַמיץ, "OpenSSF דירעקטאָר פון אָפֿן מקור צושטעלן קייט זיכערהייט, David Wheeler דערציילט ISMS.online.

"א פּרויעקט מיט אַ איין דעוועלאָפּער האט אַ גרעסערע ריזיקירן פון שפּעטער פאַרלאָזן. אין אַדישאַן, זיי האָבן אַ גרעסערע ריזיקירן פון פאַרלאָזן אָדער בייזע קאָד ינסערשאַן, ווייַל זיי קען פעלן רעגולער דערהייַנטיקונגען אָדער ייַנקוקנ באריכטן.

וואָלקן-ספּעציפיש ביבליאָטעק: דאָס קען מאַכן דיפּענדאַנסיז אויף וואָלקן ווענדאָרס, מעגלעך זיכערהייט בלינד ספּאַץ און פאַרקויפער שלאָס-אין.

"די ביגאַסט טייקאַווייַ איז אַז אָפֿן מקור איז קאַנטיניוינג צו פאַרגרעסערן אין קריטיקאַטי פֿאַר די ווייכווארג וואָס מאַכט וואָלקן ינפראַסטראַקטשער," זאגט Sonatype ס פאָקס. "עס איז געווען אַ 'האָקקי שטעקן' וווּקס אין טערמינען פון אָפֿן מקור באַניץ, און דער גאַנג וועט נאָר פאָרזעצן. אין דער זעלביקער צייט, מיר האָבן נישט געזען שטיצן, פינאַנציעל אָדער אַנדערש, פֿאַר אָפֿן מקור מאַינטערייטערז וואַקסן צו גלייַכן דעם קאַנסאַמשאַן.

זיקאָרן אַנסייף שפּראַכן: די אַדאַפּשאַן פון די זכּרון-זיכער זשאַווער שפּראַך איז גראָוינג, אָבער פילע דעוועלאָפּערס נאָך טויווע C און C ++, וואָס אָפט אַנטהאַלטן זיקאָרן זיכערקייַט וואַלנעראַביליטיז.

ווי ISO 27001 קענען העלפֿן

As Red Hat מיטארבעטער הערווע בעראַוד הערות, מיר זאָל האָבן געזען Log4Shell קומען ווייַל די נוצן זיך (Log4j) האט נישט אַנדערגאָן רעגולער זיכערהייט אַדאַץ און איז געווען מיינטיינד בלויז דורך אַ קליין פרייַוויליקער מאַנשאַפֿט, אַ ריזיקירן כיילייטיד אויבן. ער טענהט אַז דעוועלאָפּערס דאַרפֿן צו טראַכטן מער קערפאַלי וועגן די אָפֿן מקור קאַמפּאָונאַנץ זיי נוצן דורך פרעגן פֿראגן וועגן ראָי, וישאַלט קאָס, לעגאַל העסקעם, קאַמפּאַטאַבילאַטי, אַדאַפּטאַבילאַטי, און, פון קורס, צי זיי זענען קעסיידער טעסטעד פֿאַר וואַלנעראַביליטיז.

עקספּערץ אויך רעקאָמענדירן ווייכווארג זאַץ אַנאַליסיס (SCA) מכשירים צו פאַרבעסערן וויזאַביליטי אין אָפֿן מקור קאַמפּאָונאַנץ. די הילף אָרגאַניזאַציעס האַלטן אַ פּראָגראַם פון קעסיידערדיק אפשאצונג און פּאַטטשינג. בעסער נאָך, באַטראַכטן אַ מער האָליסטיק צוגאַנג וואָס אויך קאָווערס ריזיקירן פאַרוואַלטונג אַריבער פּראַפּרייאַטערי ווייכווארג. די ISO 27001 סטאַנדאַרט דיליווערז אַ סטראַקטשערד פריימווערק צו העלפֿן אָרגאַנאַזיישאַנז פֿאַרבעסערן זייער אָפֿן-מקור זיכערהייט האַלטנ זיך.

דאָס כולל הילף מיט:

• ריזיקירן אַסעסמאַנץ און מיטיגיישאַנז פֿאַר אָפֿן מקור ווייכווארג, אַרייַנגערעכנט וואַלנעראַביליטיז אָדער פעלן פון שטיצן
• אָנהאַלטן אַן ינוואַנטאָרי פון אָפֿן מקור ווייכווארג צו ענשור אַז אַלע קאַמפּאָונאַנץ זענען ופּדאַטעד און זיכער
• אַקסעס קאָנטראָלס אַזוי אַז בלויז אָטערייזד מאַנשאַפֿט מיטגלידער קענען נוצן אָדער מאָדיפיצירן אָפֿן מקור ווייכווארג
• זיכערהייט פּאַלאַסיז און פּראָוסידזשערז אויף די נוצן, מאָניטאָרינג און אַפּדייטינג פון קאַמפּאָונאַנץ
• סאַפּלייער ריליישאַנשיפּ פאַרוואַלטונג צו ענשור אָפֿן מקור ווייכווארג פּראַוויידערז אַדכיר צו די זיכערהייט סטאַנדאַרדס און פּראַקטיסיז
• קעסיידערדיק לאַטע פאַרוואַלטונג צו אַדרעס זיכערהייט וואַלנעראַביליטיז אין אָפֿן מקור ווייכווארג
• ינסידענט פאַרוואַלטונג פּראַסעסאַז, אַרייַנגערעכנט דיטעקשאַן און ענטפער צו וואַלנעראַביליטיז אָדער בריטשיז סטעמינג פון אָפֿן מקור
• העכערונג פון אַ קעסיידערדיק פֿאַרבעסערונג קולטור צו פאַרבעסערן די יפעקטיוונאַס פון זיכערהייט קאָנטראָלס
• טראַינינג און וויסיקייַט פֿאַר עמפּלוייז צו פֿאַרשטיין די ריסקס פארבונדן מיט אָפֿן מקור ווייכווארג

עס איז פיל מער וואָס קענען אויך זיין געטאן, אַרייַנגערעכנט רעגירונג זשוק ברייטהאַרציקייַט מגילה, בילדונג השתדלות און קהל פאַנדינג פון טעק דזשייאַנץ און אנדערע גרויס פאַרנעמונג ניצערס פון אָפֿן מקור. דעם פּראָבלעם וועט נישט זיין סאַלווד יבערנאַכטיק, אָבער בייַ מינדסטער די ווילז האָבן אנגעהויבן טורנינג.