開源的未來是否受到威脅？

已發表: 2023-01-24

開源軟件 (OSS) 是當今應用程序架構的支柱。通過加快上市時間並減輕經常過度勞累的開發人員的負擔，開源鞏固了其在 DevOps 領域的革命性地位。儘管對現代應用程序的開發產生了深刻的變革，但開源複製和粘貼仍然對組織和個人等構成重大安全風險。要解決這個問題，要么需要將開源代碼列入黑名單，要么需要主動實施對策，例如下一代WAF 解決方案。

第三方代碼對應用程序開發至關重要

庫是 Web 或移動應用程序組件源代碼的非常方便的存儲庫。這些庫可以是開源的——每個人都可以免費使用——也可以是專有的，從而鎖定支付背後的代碼。儘管開源享有很多榮耀，但專有代碼也在企業應用程序的持續運行中發揮著作用。

這種第三方軟件在負責任地使用時，可以避免開發人員不得不不斷地重新發明輪子。這極大地提高了開發過程的效率，同時有助於生產高質量的最終產品。最終，開源代碼的自由和自由使用創造了一個積極的反饋循環，使開發人員能夠更快地發布他們的最小可行產品，這為快速收集和實施用戶反饋和評估鋪平了道路。儘管開發人員深知開源在 DevOps 流程中的關鍵地位，但高管們常常驚訝地發現，支持現代應用程序的代碼中有 80%來自預先存在的代碼。

傳遞依賴的陰暗危險

開源代碼帶有風險並不是新聞。最近普遍存在的弱點，如 Log4j 和 HeartBleed，不可逆轉地將開源風險置於地圖上。仍然越來越多的理解領域是開源的使用頻率，以及漏洞潛入活動項目的隱秘性。儘管開源項目帶來了持續的風險，但很少有人對開源帶來的具體風險類型進行研究。 Endor Labs 的研究人員著手通過澄清主要 OSS 威脅的來源來改變這一現狀。

在軟件中，傳遞依賴描述了兩個組件之間獨特的間接關係。例如，假設您的開發團隊將包 B 添加到正在進行的項目中。反過來，包 B 會自動下載包 C。在這種情況下，雖然開發軟件與包 B 有直接關係，但包 C 仍然潛伏在後台 – 不可或缺但基本上不可見。令人沮喪的是，任何嘗試更安全的開發實踐的事實是，只有 5% 的開源軟件依賴項是手動選擇用於在 DevOps 流程中實施的。以這種方式，大多數依賴項都會自動拉入代碼庫。這描述了傳遞漏洞的來源。 Endor Labs 最近的一份報告發現，驚人的95% 的開源漏洞源自傳遞依賴性。

這些數據是根據 Core Infrastructure 的 Census II 報告編制的，該報告列出了最流行的免費開源軟件。然後，該數據通過其他來源得到豐富，使 Endor 研究人員能夠掃描流行的包管理器和 OSS 庫。研究人員發現，在 Census II 數據中提到的 254 個包中，大多數包平均有 14 個傳遞依賴。在真空中，14 可能不會顯得高得驚人，但大多數應用程序依賴數十個 - 如果不是數百個 - 直接依賴項；他們的傳遞對應物呈指數級增長。

研究人員表達的主要擔憂是基於業界對該問題的普遍低估。高管們繼續破壞開發過程中使用的源代碼數量——傳遞依賴性甚至還沒有出現在雷達上。安全問題的絕對深度繼續潛伏在表面之下，增加了錯誤搶注和遠程代碼執行攻擊的爆炸半徑。如果開源代碼的持續重用要充分發揮其潛力，安全性需要成為 DevOps 流程中的更高優先級。

如何防範潛伏的漏洞

維護安全技術堆棧的過程從未如此復雜。隨著補丁警報迅速變得勢不可擋，企業安全是時候優先考慮自動化、無補丁的保護了。優先考慮周邊安全以及靜態和動態分析的傳統措施依賴於手動更新，這意味著沒有針對零日的保護措施。攻擊者在臭名昭著的 SolarWinds 攻擊中使用的後門代碼沒有被任何靜態分析檢測到，因為從技術上講沒有錯誤。

識別和阻止企圖利用需要一套小型互鎖軟件。為了首先幫助定義和保護應用程序的邊界，可以部署下一代 Web 應用程序防火牆 (WAF)。 WAF 位於外部和內部之間的邊界，監視流入和流出應用程序的所有流量。下一代方面使該 WAF 能夠自動適應和實施新策略。這種不斷發展的自動部署為安全團隊釋放了大量時間和精力，否則舊式 WAF 會耗費這些時間和精力。

雖然 WAF 會處理任何外部執行代碼的嘗試，但運行時應用程序自我保護 (RASP) 可防止內部漏洞和代碼注入。這種保護級別實時評估所有有效負載（例如 SQL 查詢和操作系統命令）。此過程不需要簽名或學習階段，並且完全在應用程序上下文中進行。由於它在應用程序中運行，因此它幾乎涵蓋了所有上下文。這意味著，即使利用允許突破邊界，攻擊者也無法橫向移動，因為任何可疑的應用程序行為都會觸發 RASP 關閉。這會終止可疑活動並提醒安全團隊。通過這種方式，RASP 是對下一代 WAF 的補充；雖然 WAF 有助於將不良流量拒之門外，但 RASP 減輕了潛伏的、可傳遞的漏洞利用所帶來的風險。通過這些保護技術棧的組件，OSS 當前給安全帶來的負擔大大減輕了。