Äskettäin löydetty takaovi XZ Utils -tiedonpakkausapuohjelmassa – joka on läsnä lähes kaikissa tärkeimmissä Linux-jakeluissa – on jyrkkä muistutus siitä, että avoimen lähdekoodin komponentteja kuluttavat organisaatiot ovat viime kädessä vastuussa ohjelmiston turvaamisesta.
XZ Utils, kuten tuhannet muut avoimen lähdekoodin projektit, on vapaaehtoistyöntekijä, ja sen tapauksessa yksi ylläpitäjä hallinnoi sitä. Tällaisissa projekteissa on usein vähän tai ei ollenkaan resursseja tietoturvaongelmien käsittelyyn, mikä tarkoittaa, että organisaatiot käyttävät ohjelmistoa omalla vastuullaan. Tämä tarkoittaa, että tietoturva- ja kehitystiimien on toteutettava toimenpiteitä avoimen lähdekoodin riskien hallitsemiseksi samalla tavalla kuin ne tekevät sisäisesti kehitetyn koodin kanssa, tietoturvaasiantuntijat sanovat.
"Vaikka on epätodennäköistä, että organisaatio pystyy tehokkaasti estämään [kaikki] altistumisen toimitusketjun riskeille, organisaatiot voivat ehdottomasti keskittyä strategiaan, jolla vähennetään toimitusketjun hyökkäyksen onnistumisen todennäköisyyttä", sanoo Jamie Scott, Endor Labsin perustava tuotepäällikkö.
Avoin lähdekoodi ei ole sama asia kuin ulkoistaminen: ”Ohjelmistojen avoimen lähdekoodin ylläpitäjät ovat vapaaehtoisia. Toimialatasolla meidän on kohdeltava niitä sellaisina. Omistamme ohjelmistomme; olemme vastuussa uudelleen käyttämistämme ohjelmistoista."
Hyvää tarkoittava, aliresurssit
Huoli avoimen lähdekoodin ohjelmistojen turvallisuudesta eivät ole mitenkään uusia. Mutta se vaatii usein sellaisia löytöjä Log4Shell-haavoittuvuus ja takaovi XZ Utilsissa todella ajaa kotiin, kuinka haavoittuvia organisaatiot ovat koodinsa komponenteille. Ja usein koodi tulee hyvää tarkoitetuista mutta toivottoman aliresursseista avoimen lähdekoodin projekteista, joita ylläpidetään minimaalisesti.
Esimerkiksi XZ Utils on pohjimmiltaan yhden henkilön projekti. Toinen henkilö onnistui hiipiä takaoven sisään apuohjelma lähes kolmen vuoden aikana saamalla vähitellen tarpeeksi luottamusta projektin ylläpitäjältä. Jos Microsoft-kehittäjä ei olisi sattunut maaliskuun lopulla tutkiessaan Debian-asennukseen liittyvää outoa käyttäytymistä, takaovi olisi voinut päätyä miljooniin laitteisiin maailmanlaajuisesti – mukaan lukien ne, jotka kuuluvat suurille yrityksille ja valtion virastoille. Kuten kävi ilmi, takaovella oli minimaalinen vaikutus, koska se vaikutti XZ Utils -versioihin, joita oli vain Debianin, Fedoran, Kalin, avoimen SUSE:n ja Arch Linuxin epävakaissa ja beta-versioissa.
Seuraava tällainen avoimen lähdekoodin kompromissi voisi olla paljon huonompi. "Yritysorganisaatioiden pelottavin osa on, että heidän sovelluksensa on rakennettu avoimen lähdekoodin ohjelmistoprojektien päälle, kuten XZ Utils", sanoo Donald Fischer, Tideliftin toinen perustaja ja toimitusjohtaja. "XZ Utils on yksi kymmenien tuhansien paketti, joka on joka päivä tyypillisten yritysorganisaatioiden käytössä", hän sanoo.
Suurimmalla osalla näistä organisaatioista ei ole riittävästi näkyvyyttä ohjelmistojen toimitusketjun tämän osan turvallisuudesta ja kestävyydestä voidakseen arvioida riskejä, hän huomauttaa.
Viime Harvard Business School Tutkimus arvioi avoimen lähdekoodin ohjelmistojen kysyntäpuolen arvon hämmästyttäväksi 8.8 biljoonaa dollaria. Ylläpitäjät ovat tämän ekosysteemin ytimessä ja monet heistä lentävät yksin, Fischer sanoo. Tideliftin viime vuonna tekemä tutkimus osoitti, että 44 % avoimen lähdekoodin projektien ylläpitäjistä kuvailee itseään projektiensa ainoaksi ylläpitäjäksi. Kuusikymmentä prosenttia ilmoitti olevansa palkattomia harrastajia, ja sama prosenttiosuus ilmoitti joko lopettaneensa tai harkitseensa luopumista projektien ylläpitäjistä. Monet ylläpitäjät kuvasivat ponnistelujaan stressaavaksi, yksinäiseksi ja taloudellisesti kannattamattomaksi työksi, Fischer sanoo.
"XZ utils -hakkerointi tuo jyrkästi helpotuksen riskit aliinvestoinnista avoimen lähdekoodin ohjelmistojen toimitusketjun terveyteen ja kestävyyteen, [johon] yritysorganisaatiot luottavat", Fischer sanoo. ”Yritysorganisaatioiden on ymmärrettävä, että suurimman osan luotettavimmista avoimen lähdekoodin paketeista ylläpitävät vapaaehtoiset, jotka kuvailevat itseään palkattomaksi harrastajaksi. Nämä ylläpitäjät eivät ole yritysten toimittajia, mutta heidän odotetaan toimivan ja toimittavan heidän tavoin."
Vaara: Transitiiviset riippuvuudet
A Endorin tekemä tutkimus vuonna 2022 havaittiin, että 95 % avoimen lähdekoodin haavoittuvuuksista on niin sanotuissa transitiivisissa riippuvuuksissa tai toissijaisissa avoimen lähdekoodin paketeissa tai kirjastoissa, joista ensisijainen avoimen lähdekoodin paketti saattaa olla riippuvainen. Usein nämä ovat paketteja, joita kehittäjät eivät itse valitse suoraan, vaan joita avoimen lähdekoodin paketti käyttää automaattisesti kehitysprojektissaan.
"Esimerkiksi kun luotat yhteen Maven-pakettiin, tuloksena on keskimäärin 14 lisäriippuvuutta, joihin luotat implisiittisesti", Scott sanoo. "Tämä luku on vielä suurempi tietyissä ohjelmistoekosysteemeissä, kuten NPM, joihin tuot keskimäärin 77 muuta ohjelmistokomponenttia jokaista luotettavaa kohdetta kohden."
Yksi tapa aloittaa avoimen lähdekoodin riskien lieventäminen on kiinnittää huomiota näihin riippuvuuksiin ja olla valikoiva valitsemassasi projektissa, hän sanoo.
Organisaatioiden tulisi tarkastaa riippuvuudet, erityisesti pienemmät kertaluonteiset paketit, joissa on yhden ja kahden hengen tiimit, lisää Dimitri Stiliadis, Endorin teknologiajohtaja ja toinen perustaja. Heidän tulee määrittää, onko heidän ympäristönsä riippuvuuksilla asianmukaiset suojaustoiminnot vai sitoutuuko yksittäinen henkilö kaikki koodit; onko heidän arkistoissaan binääritiedostoja, joista kukaan ei tiedä; tai vaikka joku ylipäänsä aktiivisesti ylläpitäisi projektia, Stiliadis sanoo.
"Keskitä ponnistelusi vastaustehon parantamiseen – perustavanlaatuiset hallintatoimenpiteet, kuten kypsän ohjelmistovaraston ylläpito, ovat edelleen yksi arvokkaimmista ohjelmista, joita voit käyttää ohjelmistoriskien nopeaan tunnistamiseen, kattamiseen ja niihin vastaamiseen, kun ne on tunnistettu", Scott neuvoo.
Ohjelmiston koostumuksen analysointityökalut, haavoittuvuusskannerit, EDR/XDR-järjestelmät ja SBOM:t voivat myös auttaa organisaatioita tunnistamaan nopeasti haavoittuvat ja vaarantuneet avoimen lähdekoodin komponentit.
Uhkauksen tunnustaminen
"Altistumisen vähentäminen alkaa yhteisymmärryksestä ja tunnustamisesta C-sarjassa ja jopa hallituksen tasolla, että noin 70% keskimääräisen ohjelmistotuotteen ainesosista on avoimen lähdekoodin ohjelmistoja, jotka ovat historiallisesti enimmäkseen kompensoimattomien tekijöiden luomia", Tideliftin Fischer sanoo.
Uudet määräykset ja ohjeet rahoituspalvelualalla, FDA:ssa ja NIST:ssä muokkaavat ohjelmistojen kehittämistä tulevina vuosina, ja organisaatioiden on valmistauduttava niihin nyt. "Voittajat mukautuvat nopeasti reaktiivisesta strategiasta ennakoivaan strategiaan avoimeen lähdekoodiin liittyvien riskien hallintaan", hän sanoo.
Fischer suosittelee, että organisaatiot saavat tietoturva- ja suunnittelutiiminsä tunnistamaan, kuinka uudet avoimen lähdekoodin komponentit tulevat niiden ympäristöön. Heidän tulee myös määritellä roolit näiden komponenttien seurannassa ja ennakoivasti poistaa ne, jotka eivät sovi yrityksen riskinottohalukkuuteen. ”Reagoimisesta myöhäisen vaiheen ongelmiin on tullut viime vuosien aikana tehoton tapa käsitellä liiketoimintaan kohdistuvien riskien laajuutta. Yhdysvaltain hallitus viestittää se aikakausi lähenee loppuaan", hän sanoo.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security
