Tekniska ämnen

Vad är Open Source Security?

Illustration av IT-artiklar med fokus på en bärbar dator

Översikt

Open Source Security, vanligen kallat Software Composition Analysis (SCA), är en metod som ger användarna bättre insyn i open source-inventeringen av deras applikationer. Detta görs genom att undersöka komponenter via binära fingeravtryck, använda professionellt kurerad och egenutvecklad forskning, matcha exakta skanningar mot den egenutvecklade intelligensen samt visa utvecklare denna intelligens direkt i deras favoritverktyg.

Vad är öppen källkod?

Vad är öppen källkod?

Öppen källkod avser all programvara med tillgänglig källkod som vem som helst kan modifiera och dela fritt. Källkoden är den del av programvaran som användarna inte ser; det är den kod som programmerare kan skapa och redigera för att ändra hur programvaran fungerar. Genom att ha tillgång till ett programs källkod kan utvecklare eller programmerare förbättra programvaran genom att lägga till funktioner eller åtgärda delar som inte alltid fungerar korrekt.


Varför använda programvara med öppen källkod?

I dagens snabba affärsvärld har programvaruteam infört agila utvecklingsmetoder som DevOps för att hålla jämna steg med efterfrågan från företagen. Dessa metoder sätter stor press på utvecklarna att bygga och driftsätta applikationer snabbare. För att lyckas uppnå sina mål inom korta releasecykler för programvara använder utvecklarna ofta programvarukomponenter med öppen källkod. Open Source Software (OSS) distribueras fritt, vilket gör det mycket kostnadseffektivt. Många utvecklare drar nytta av att börja med OSS och sedan anpassa den efter sina behov. Eftersom koden är öppen är det bara att modifiera den för att lägga till den funktionalitet de vill ha.


Är Open Source en säkerhetsrisk?

Det är ingen hemlighet... utvecklare använder programvara med öppen källkod.

Ändå finns det frågor kring hur den ska hanteras - och det av goda skäl.

Här är skälet till det:

  • Komponenter med öppen källkod är inte lika bra. Vissa är sårbara från början, medan andra blir dåliga med tiden.
  • Användningen har blivit mer komplex. Med tiotals miljarder nedladdningar blir det allt svårare att hantera bibliotek och direkta beroenden.
  • Transitiva beroenden: Om du använder beroendehanteringsverktyg som Maven (Java), Bower (JavaScript), Bundler (Ruby) etc. drar du automatiskt in beroenden från tredje part - ett ansvar som du inte har råd med.
  • 300.000+ open source-komponenter laddas ner årligen av ett genomsnittligt företag
  • Under 2018 hade 1 av 10 komponenter med öppen källkod kända säkerhetsproblem (10,3%) i miljarder nedladdningar av komponentversioner med öppen källkod.
  • 51% av nedladdningarna av JavaScript-paket innehöll kända säkerhetsbrister.
  • 71% ökning av bekräftade eller misstänkta intrång relaterade till öppen källkod sedan 2014

Hur identifierar jag sårbarheter i Open Source i min programvara?

Företagen måste inte bara säkra den kod de skriver, utan även den kod de använder från komponenter med öppen källkod. Det är därför många organisationer använder Sonatype för att automatisera styrningen av öppen källkod i stor skala genom hela SDLC och flytta säkerheten till utvecklings- och byggstadierna.

Upptäck den bästa integrerade lösningen i klassen för säkerhet för anpassad kod och öppen källkod med OpenText™ Cybersecurity Cloud och Sonatype. Exakt information om öppen källkod ger en 360-gradersvy av säkerhetsproblem i applikationer med anpassad kod och komponenter med öppen källkod i en enda skanning. Du kan utföra sökningar efter sårbarheter i öppen källkod och anpassad kod i en enda skanning och instrumentpanel.

Fortify erbjuder också intelligens och säkerhet för öppen källkod genom Debricked som använder toppmodern maskininlärning för snabbare och mer exakta resultat. Debricked är en molnbaserad lösning för analys av mjukvarukompositioner som utvecklare vill använda och som i sin tur ökar produktiviteten. Lösningen använder ett holistiskt tillvägagångssätt med sömlösa integrationer i DevOps-livscykeln för att proaktivt hantera risker i leveranskedjan för programvara.

Hur kan vi hjälpa till?

Fotnoter