Sự hồi hộp của cuộc săn lùng (lỗ hổng)
Việc tìm kiếm các lỗ hổng nguồn mở thường được thực hiện bởi những người bảo trì dự án nguồn mở, người dùng, người kiểm tra hoặc các nhà nghiên cứu bảo mật bên ngoài. Nhưng bất chấp những nhà khảo cổ học mã vĩ đại này đã giúp bảo vệ thế giới của chúng ta, cộng đồng vẫn phải vật lộn để tìm ra các lỗ hổng bảo mật.
Trung bình, phải mất hơn 800 ngày để phát hiện ra một lỗ hổng bảo mật trong các dự án mã nguồn mở. Ví dụ, lỗ hổng nổi tiếng Log4shell (CVE-2021-44228) không được phát hiện trong 2649 ngày.
Phân tích cho thấy 74% lỗi bảo mật thực sự chưa được phát hiện trong ít nhất một năm! Java và Ruby dường như có nhiều thách thức nhất ở đây, vì cộng đồng phải mất hơn 1000 ngày để tìm và tiết lộ các lỗ hổng. Của chúng tôi [white] cộng đồng PHP / Composer có lợi hơn một chút so với cộng đồng PHP / Composer.
Cây kim trong một chiếc túi công nghệ
Các yếu tố thú vị khác là một số loại điểm yếu khác nhau (CWE) dường như khó tìm và tiết lộ hơn, điều này thực sự mâu thuẫn với định luật Linus. Các loại điểm yếu CWE-400 (Tiêu thụ tài nguyên không được kiểm soát) và CWE-502 (Hủy đăng ký dữ liệu không đáng tin cậy) thường không được bản địa hóa cho một chức năng duy nhất hoặc có thể xuất hiện như logic dự kiến trong ứng dụng. Nói cách khác, nó không thể được coi là “một lỗi nông.”
Có vẻ như cộng đồng nhà phát triển đã tốt hơn một chút trong việc tìm ra CWE-20 (Xác thực đầu vào không đúng cách), trong đó lỗ hổng phần lớn chỉ là một vài dòng mã trong một hàm duy nhất.
Giải quyết các lỗ hổng bằng biện pháp khắc phục mạnh mẽ
Vì sao vấn đề này? Là người tiêu dùng mã nguồn mở, và đó là về mọi công ty trên toàn thế giới, vấn đề về các lỗ hổng trong mã nguồn mở là một vấn đề quan trọng. Dữ liệu cho chúng ta biết rằng chúng ta không thể hoàn toàn tin tưởng Luật Linus – không phải vì mã nguồn mở kém an toàn hơn các phần mềm khác, mà vì không phải tất cả các lỗi đều nông.
May mắn thay, có những công cụ mạnh mẽ để thực hiện phân tích quy mô nhiều dự án mã nguồn mở cùng một lúc. Đã có [white knight hackers disclose 1000's] lỗ hổng bảo mật cùng một lúc bằng cách sử dụng các phương pháp này. Sẽ là ngây thơ nếu không cho rằng các tổ chức và cá nhân thiếu đầu óc cũng làm như vậy. Là một hệ sinh thái đặt nền tảng cho thế giới tập trung vào phần mềm của chúng ta, cộng đồng phải cải thiện đáng kể khả năng tìm kiếm, tiết lộ và sửa chữa các lỗi bảo mật trong mã nguồn mở.
Năm ngoái, Google đã cam kết 10 tỷ đô la cho một quỹ nguồn mở để giúp bảo mật nguồn mở với vai trò người quản lý cụ thể để làm việc cùng với những người bảo trì với các nỗ lực bảo mật cụ thể.
Hơn nữa, Debricked giúp các công ty làm cho các lỗ hổng này có thể xử lý được bằng cách quét tất cả phần mềm của bạn, mọi nhánh, mọi lần đẩy và mọi cam kết, để tìm các lỗ hổng mới (mã nguồn mở). Debricked thậm chí liên tục quét tất cả các cam kết cũ của bạn cho mọi lỗ hổng mới, để đảm bảo chúng mang lại thông tin cập nhật, chính xác và có thể hành động trên nguồn mở mà bạn sử dụng. Debricked thậm chí còn giúp các nhà phát triển sửa lỗi bảo mật của bạn với các yêu cầu kéo tự động sẽ không gây ra địa ngục phụ thuộc; khá gọn gàng!
Sự thật nằm trong dữ liệu
Vì vậy, biết tất cả những điều này, cách tốt nhất để bảo vệ dự án hoặc công ty của bạn chống lại các lỗ hổng mã nguồn mở là gì? Như chúng ta đã thấy trong trường hợp của Log4j và Spring4shell cũng như các con số, chúng ta không bao giờ có thể thực sự tin tưởng rằng cộng đồng sẽ tìm ra và khắc phục mọi rủi ro. Có rất nhiều khả năng là có rất nhiều lỗ hổng chưa được phát hiện và chưa được tiết lộ trong mã của bạn ngày hôm nay và bạn không thể làm gì nhiều về nó.
Theo Debricked, cách tốt nhất để giảm thiểu điều này là thực hiện quét lỗ hổng liên tục cho SDLC của bạn. Bằng cách tự động quét ở mỗi lần đẩy mã, kết hợp với cơ sở dữ liệu lỗ hổng do máy học hỗ trợ. Điều này đảm bảo bạn được cập nhật theo thời gian thực, bạn sẽ biết về các lỗ hổng bảo mật mới trước khi bất kỳ ai khác làm. Ngay sau khi có bản sửa lỗi, bạn có thể tạo Yêu cầu kéo khắc phục tự động hoặc giải quyết nó theo cách thủ công với sự trợ giúp của Debricked. Hiện tại, Debricked cung cấp giải pháp khắc phục cho JavaScript và Go, với hỗ trợ nhiều ngôn ngữ hơn sẽ sớm ra mắt.
