Издание Новости Донбасса пишет, что перед лицом экономических препятствий и обострения проблемы с уязвимостями кода 2022 год
Лидерство и безопасность в инновациях являются темой года в обзоре LF для открытого исходного кода. По словам Джима Землина, исполнительного директора LF, участники проектов LF и открытого исходного кода в целом составляют самую большую распределенную рабочую силу в мире.
Годовой обзор сводится к одному важному фактору: повлияло ли глобальное влияние LF на открытый исходный код благодаря инновациям и лучшей безопасности? В
Результатом стал год прорыва для фонда на обоих фронтах. В прошлом году организация вступила в золотой век инноваций с открытым исходным кодом, когда фонд направляет новых участников и прокладывает путь для сотрудничества на новых фронтах, по словам Нитьи Рафф, председателя совета директоров LF и руководителя Open. Офис исходной программы (OSPO) на Amazon.
Риски, уязвимости, атаки
Еще один недавний отчет о растущих угрозах безопасности может омрачить высокую оценку, которую чиновники LF присвоили прогрессу и инновациям, предоставляемым открытым исходным кодом. Чрезмерные уязвимости кода подрывают основу доверия и надежности, которые являются отличительными чертами для пользователей с открытым исходным кодом.
Компания Mend (ранее WhiteSource), занимающаяся безопасностью программных приложений, в декабре выпустила отчет о рисках с открытым исходным кодом, в котором раскрывается значительный риск, связанный с продолжающимся ростом числа уязвимостей с открытым исходным кодом и атаками на цепочки поставок программного обеспечения.
Согласно этому отчету, количество уязвимостей с открытым исходным кодом, выявленных исследователями Mend и добавленных в базу данных уязвимостей за первые девять месяцев прошлого года, было на 33% больше, чем в предыдущем году. Поскольку предприятия продолжают в значительной степени полагаться на приложения с открытым исходным кодом, эта растущая угроза вызывает растущую озабоченность.
Обзор года роста
В настоящее время Linux Foundation является ведущим игроком в области открытых стандартов, предприняв более 200 усилий по созданию открытых стандартов во многих отраслях. Организация добавила 79 новых проектов и еженедельно отправляла 52,6 миллиона строк кода в более чем 12 000 репозиториев.
Пользователи с открытым исходным кодом загрузили 12,6 миллиарда контейнеров, и мы увидели значительное восстановление личных действий. LF собрал более 92 000 человек из 176 стран и более 12 000 организаций на 230 официальных мероприятиях, установив новый рекорд посещаемости. Наконец, было созвано более 29 000 общественных собраний.
В финансовом отношении LF более стабилен, чем
Годовой отчет Linux Foundation за 2022 г. Основные моменты и достижения
В течение прошлого года обучение и сертификацию Linux Foundation прошли более 2,7 миллиона человек. Добавьте к этим недавно изучившим Linux новичкам около 605 000 технических специалистов, работающих над проектами LF.
В отчете отмечается важность и популярность обучения безопасности LF. Более 10 000 человек записались на бесплатный курс обучения безопасности с открытым исходным кодом в день релиза.
Основываясь на среднемировом уровне зарплат программистов, эта сила людей с открытым исходным кодом составляет 26 миллиардов долларов вклада разработчиков в 2022 году. Участники проектов Linux Foundation и открытого исходного кода в целом составляют крупнейшую распределенную инженерную рабочую силу в мире на несколько порядков...
Перед вызовами впереди
Согласно отчету LF, кибербезопасность и технонационализм возникли в прошлом году, продолжая создавать проблемы для продолжающегося роста и принятия открытого исходного кода. В области кибербезопасности императив защиты цепочки поставок с открытым исходным кодом и обеспечения безопасности открытого исходного кода стал предметом международной озабоченности.
В отчете LF значительный раздел был посвящен кибербезопасности и особенностям цепочки поставок. В этом году компания взяла на себя обязательство снизить серьезность и срочность в сообществе открытого исходного кода. В нем изложены некоторые ключевые цели, помимо массовых усилий в области образования.
Организация провела большую часть года, работая над созданием сообщества вокруг неотложной задачи защиты программного обеспечения с открытым исходным кодом (OSS) и устойчивости экосистемы.
Эти усилия включали работу с Open Source Security Foundation (OpenSSF), OpenChain, поддержку обмена данными о пакетах программного обеспечения (SPDX), открытого стандарта для передачи информации о спецификациях программного обеспечения (SBOM) и другие действия в области кибербезопасности.
В прошлом году LF сосредоточился на трех ключевых приоритетных областях:
1. Улучшение безопасности и экосистемы OSS;
2. Устранение нехватки талантов за счет улучшения обучения и образовательных инициатив; и
3. Придание значения открытости и важности сообщества.
Сообщить об отказе от исправления
Исследование Mend, в котором приняли участие 1000 североамериканских компаний, показало, что только 13% обнаруженных уязвимостей были устранены, по сравнению с 40%, устраненными теми, кто использует современные передовые методы обеспечения безопасности приложений.
Сегодня открытый исходный код используется в 70−90% приложений. В отчете отмечается, что все больше компаний оказываются уязвимыми для атак, поскольку злоумышленники пользуются пробелом в средствах исправления.
Согласно отчету Mend, количество вредоносных пакетных атак также растет. Данные по продуктам безопасности компании показывают устойчивый ежеквартальный рост, увеличившийся на 79% со второго по третий квартал прошлого года. Сегодня больше пакетов содержат телеметрию, которая позволяет собирать данные, а некоторые теперь встроены в цепочку поставок, например, когда допустимый контент имеет зависимость, содержащую вредоносный код.
«Поскольку задолженность по ценным бумагам продолжает расти, крайне важно найти способ определить приоритеты уязвимостей, которые представляют наибольший риск, чтобы не стать жертвой атаки», — сказал Джеффри Мартин,
Он добавил, что инструменты исправления для оценки и приоритизации уязвимостей, которые могут наиболее сильно повлиять на системы, являются важным элементом управления долгом безопасности.
«Однако организации не должны обращать внимание только на детали серьезности. Чтобы обеспечить эффективную расстановку приоритетов и исправление, им необходимо также смотреть на контекст эксплуатации недостатков самостоятельно и совместно с другими».
Казалось бы, невыигрышный вызов
Суть в том, что команды перегружены слишком большим количеством уязвимостей, классифицируемых как критические. Команды не могут правильно расставить приоритеты, считает Марк Ламберт,
По его словам, организациям следует решать эту проблему, понимая контекст уязвимости и соответствующим образом расставляя приоритеты. Например, связана ли уязвимость с
Другие факторы, которые повышают или снижают приоритетность исправления, включают в себя, является ли это известным эксплойтом для CVE, задокументированным в каталоге CISA KEV, или является предметом активных хакерских разговоров об уязвимости или статусе тренда в социальных сетях.
«Актеры угроз высоко автоматизированы и могут запускать тысячи сценариев против цели всего за несколько минут. Риск заключается в том, что действительно критическая уязвимость может ускользнуть и быть использованной организованным и эффективным злоумышленником», — сказал Ламберт LinuxInsider.
Медленная реакция влияет на успех кибербезопасности
Уязвимости в открытом исходном коде требуют времени для устранения командами по нескольким причинам, добавил Трэвис Смит,
«В течение этого периода злоумышленники могут воспользоваться этими уязвимостями. Те уязвимости, которые напрямую связаны с Интернетом, подвергаются наибольшему риску, но также и другие уязвимости, которые часто используются для фишинга», — сказал Смит LinuxInsider.
Часто пути к автоматическому исправлению не существует. Это критически важный фактор, позволяющий сократить среднее время устранения уязвимостей и частоту исправлений.
Эти типы уязвимостей часто встроены в другие программы. Смит объяснил, что их сложнее обнаружить, чем другие уязвимости в таких программах, как Windows или Chrome.
Два шага решают эту проблему, предложил Смит.
