گسترش آسیب پذیری ها در نرم افزارهای منبع باز

به گزارش کارگروه امنیت سایبربان، به نقل از «securitybrief»؛ ترکیب اجزاء و منابع باز نرم افزاری تقریبا در همه ی جنبه های تکنولوژی نفوذ کرده است؛ اما تعداد آسیب پذیری ها در هر کدام از پایگاه های تجاری به طور یکسان در حال افزایش هستند و حتی برنامه های امنیت سایبری نیز در معرض خطر قرار دارند.

شرکت «synopsys» با استفاده از نرم افزار «بلک داک» (Black Duck) گزارشی با عنوان «OSSRA» منتشر کرد. این برنامه بیش از 1100 نرم افزار تجاری در سراسر صنایع از جمله خودروسازی، داده های بزرگ، امنیت سایبری، اینترنت اشیاء، برنامه های تلفن همراه، خدمات مالی، تولید، مراقبت های بهداشتی و نرم افزارهای اقتصادی را مورد بررسی قرار داد.

تیم مکی (tim mackey)، متخصص تکنیکی این شرکت گفت:

از آنجایی که نرم افزار و زیرساخت های جدید به شدت به فناوری های منبع باز متکی هستند، داشتن یک دید کلی از اجزای استفاده شده، بخش مهمی از مدیریت شرکت است.

گزارش مذکور نشان می دهد 96 درصد از برنامه های بررسی شده حاوی اجزای منبع باز هستند  که به طور متوسط 257 جزء در هر کد منبع موجود است.

در حالی که تعداد قطعات در هر کد منبع در مقایسه با سال گذشته 75 درصد افزایش یافته است، بانک های کد اغلب، اجزا منبع باز بیشتری نسبت به کدهای اختصاصی دارند.

به علاوه، 78 درصد کدهای مورد بررسی، حداقل یک آسیب پذیری منبع باز با میانگین 64 آسیب در هر کدام دارند. همچنین 54 درصد از آنها آسیب پذیری های پر خطر هستند. همچنین 17 درصد آسیب پذیری های شایع، شامل حفره های امنیتی «heartbleed» ،«poodle» ،«dronn» ،«freak» و «logjam» است.

مکی افزود:

این گزارش به وضوح نشان می دهد با افزایش استفاده از برنامه های منبع باز، سازمان ها باید از داشتن ابزارهایی برای تشخیص آسیب پذیری اطمینان حاصل کرده و هر مجوزهای محصولات این چنینی را مدیریت کنند.

اینترنت و دستورالعمل های نرم افزاری بیشتر در معرض خطر هستند، به طوریکه 67 درصد برنامه ها دارای آسیب پذیری های حیاتی هستند.

همچنین امنیت سایبری نیز به شدت تحت تاثیر قرار گرفته، به طوریکه 41 درصد از برنامه های کاربردی دارای آسیب پذیری های با خطر بالا هستند.

گزارش یاد شده دیدگاه هایی را نیز نسبت نقض «Equifax»  ارائه داد، که از طریق «apache structs» به وجود می آید.

به طور کلی 33 درصد کدهای بررسی شده شامل حفره ی امنیتی apache struct و آسیب پذیری هایی که موجب نقض Equifax شده بود، هستند. به طور متوسط آسیب پذیری های شناسایی شده در گزارش های تقریبا 6 سال پیش منتشر شده اند.

ایوان کلین (Evan Klein)، مدیر بازرگانی تولید، در گزارش ossra گفت:

زمانیکه Equifax از طریق آسیب پذیری apach strut نقض شد، نیاز به مدیریت امنیت منبع مجازی در صدر اخبار نمایان گشت.

اگرچه این موضوع در ماه مارس 2017 آشکار شد؛ اما بسیاری از سازمان ها هنوز برنامه های خود را به منظور تشخیص آسیب پذیری strut بررسی نکرده اند.

این گزارش همچنین نشان می دهد 74 درصد از کدهای منبع ،دارای اجزایی با مجوز ناسازگار هستند که شایع ترین آنها نقض مجوز «GPL» بود.