بیش از 75 ٪ از تمام آسیب پذیری در اقامت غیر مستقیم وابستگی

اکثریت قریب به اتفاق از آسیب پذیری های امنیتی در منبع باز پروژه های اقامت در وابستگی غیر مستقیم و نه به طور مس

توسط HEKAYATFARDAYEEMAAA در 7 تیر 1399

اکثریت قریب به اتفاق از آسیب پذیری های امنیتی در منبع باز پروژه های اقامت در وابستگی غیر مستقیم و نه به طور مستقیم و دست اول لود قطعات.

"گرد کردن اعداد از تمام اکوسیستم ما در بر داشت بیش از سه بار به عنوان بسیاری از آسیب پذیری های غیر مستقیم وابستگی از ما مستقیم, وابستگی" Alyssa Miller, نرم افزار امنیتی مدافع در Snyk گفته ZDNet در مصاحبه بحث Snyk دولت باز منبع امنیتی برای سال 2020 مطالعه است.

به گزارش نگاه چگونه از آسیب پذیری های نهفته جاوا اسکریپت (npm), روبی (RubyGems) جاوا (MavenCentral) PHP (Packagist) و پایتون (PyPI) اکوسیستم.

Snyk گفت که 86 درصد از جاوا اسکریپت امنیت اشکالات 81 درصد از یاقوت اشکالات و 74% از جاوا آنهایی که کتابخانه ها نهفته است که وابستگی از اجزای اصلی لود شده در داخل یک پروژه است.

snyk-indirect.png
تصویر: Snyk

Snyk استدلال می کند که شرکت های اسکن اولیه خود را از وابستگی به مسائل امنیتی و بدون بررسی کامل خود را از وابستگی به درخت سطوح مختلف پایین خواهد آزادی و یا تا پایان در حال اجرا محصولات که در معرض اشکالات پیش بینی نشده.

اما در حالی که اشکالات امنیتی بودند شایع در جاوا اسکریپت روبی و جاوا آن را در PHP و Python که در آن اکثریت قریب به اتفاق از اشکالات در وابستگی مستقیم (اجزای اصلی). اما یک دلیل وجود دارد که.

"من صادقانه برای پیدا کردن آن بیشتر به یک ماده از رویکرد توسعه درون اکوسیستم خود را" میلر گفت ZDNet.

"جاوا و Node.js پروژه های خاص به نظر می رسد اهرم وابستگی زیادی سنگین تر از دیگر اکوسیستم. به ویژه هنگامی که شما نگاه کنید در اندازه مطلق از Node.js اکوسیستم بسته های ساختمان و یا اعمال نفوذ قابلیت های کلیدی از سایر بسته های بسیار هنجار.

"از هر گره توسعه آنها احتمالا یک داستان از انتظار برای دوره های طولانی برای باز کردن یک پروژه در حالی که npm در تلاش است به جلو و از همه لازم است وابستگی" میلر اضافه شده است. "یکی از مورد علاقه ما نمونه است 80 خط Java برنامه ای که مشخص می کند 7 وابستگی است. هنگامی که شما راه رفتن در تمام وابستگی درخت شما پیدا 59 sub-وابستگی و ناگهان 80 خط کد به 740,000 خطوط.

"که" خطر غریبه' به عنوان ما دوست داریم به نام مستعار آن است که در قلب برخی از مشخصات بالا نقض و یک کلید باعث پیچیدگی از نظر نرم افزار زنجیره تامین, امنیت," میلر گفت.

چند اشکالات تا به حال تاثیر زیادی

اما Snyk تیم نیست فقط در محل این اشکالات در منبع باز اکوسیستم بلکه در چه نوع از اشکالات آنها.

یکی دیگر از یافته های جالب توجه این است که بسیاری از نقص امنیتی جدید کشف شده در سال 2019 شد cross-site scripting (XSS) اشکالات اما با وجود تعداد بالای این نهفته که تنها بخش کوچکی از پروژه های دنیای واقعی.

به جای دو ده نمونه آلودگی اشکالات بیشترین تأثیر را از تمام باگ های کشف شده در سال گذشته تحت تاثیر قرار بیش از 115,000 های مختلف از پروژه های منبع باز و احتمالا حتی بیشتر ،

از این نمونه اولیه آلودگی اشکالات در جی کوئری و LoDash بیشترین تأثیر را به عنوان این چارچوب برخی از مهمترین و به طور گسترده ای به کار جاوا اسکریپت توسعه toolsets امروز.

snyk-vuln-impact-type.png
تصویر: Snyk

اما Snyk تیم همچنین با اشاره به یکی دیگر از quirck در گزارش خود یعنی که "مخرب بسته" به عنوان رتبه دوم شایع ترین نوع مسئله امنیت آنها را در پروژه های سال گذشته است.

این اشاره به منبع باز کتابخانه ها است که هر کدام ایجاد شده به مخرب بر روی هدف و یا کتابخانه های که در آن توسعه دهنده حساب کاربری هک شد و کد مسموم شدند.

با توجه به Snyk سال گذشته هک شده یا مخرب بسته شد دوم شایع ترین منبع امنیتی برای منبع باز اکوسیستم.

"اکثریت قریب به اتفاق بیش از 87 درصد بودند از npm [جاوا اسکریپت] بسته" میلر گفت ZDNet.

کمتر اشکالات امنیتی در سال گذشته اما هیچ دلیلی برای جشن

بعلاوه Snyk نیز اشاره کرد 20% کاهش در تعداد اشکالات آنها کشف شده در سراسر پنج اکوسیستم آنها اسکن شده است.

snyk-vuln-2019.png
تصویر: Snyk

"این سخت است برای گفتن مطمئن برای [چرا آنها کاهش یافته است]" میلر گفت. "دائمی امنیت شکاک در من می گوید این فقط می تواند بخشی از جزر و مدی. اما در خوش بینانه طرف ما دیدن برخی از کلید شیفت در جامعه است که می تواند به معنای آن است که بیش از یک سال و پرت.

"مثلا جایی که ما دیدم بیشتر Cross-Site Scripting (XSS) آسیب پذیری های گزارش شده از هر نوع آسیب پذیری آنها تحت تاثیر یک بخش کوچک از کل پروژه های ما اسکن برای سال. که نشان می دهد که XSS است به احتمال زیاد تأثیر شدت بیشتر استفاده می شود و در نتیجه بالغ پروژه های معنی است که ما به طور بالقوه گرفتن کشش در امن تکنیک های برنامه نویسی.

"همچنین بررسی های ما نشان داد که نگرش در سراسر جامعه در حال شروع به دیدن نرم افزار های امنیتی به عنوان یک مسئولیت مشترک بین توسعه دهندگان و تیم های امنیتی (و حتی تا حدی این تیم عملیات)" میلر گفت.

"که بهبود همکاری ها قطعا می تواند کمک به درایو آگاهی بهتر و تاکتیکی اقدامات اطراف کد امن و مطمئن با استفاده از منبع باز بسته است.

"کار داشتن امنیت برای 15 سال من قطعا آماده برای اعلام یک سال به عنوان یک نشانه آن است که چیزهای جدید گرفته اند, جهت, اما شما می توانید شرط می بندم این روند ادامه خواهیم داد و ببینید چه کارهایی را در ماه های آینده و کل سال 2020 است."

برای اضافی بینش امنیت عمومی دولت از منبع باز جامعه Snyk است گزارش کامل برای دانلود در دسترس است در اینجا.

آخرین مطالب
مقالات مشابه
نظرات کاربرن