אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
פרצות אבטחה ברכיבי קוד פתוח מאיימות על תוכנות מסחריות

פרצות אבטחה ברכיבי קוד פתוח מאיימות על תוכנות מסחריות

מחקר של חברת סייבר מצא פרצות אבטחה שמקורן ברכיבי קוד פתוח בכ-200 תוכנות מסחריות. בממוצע נמצאו כ-22 פרצות בכל תוכנה ביניהן גם כאלה שכבר נחסמו בגרסאות חדשות יותר

05.05.2016, 14:35 | רפאל קאהאן

מחקר שנערך על ידי חברת הסייבר Black Duck מצא שרכיבי קוד פתוח שנמצאים ברוב ביישומים המסחריים כיום עשויים להכיל פרצות אבטחה חמורות. המחקר בדק כ-200 יישומים מסחריים שנמצאים בשימוש נפוץ בקרב ארגונים.

קראו עוד בכלכליסט

עורכי המחקר מצאו שבממוצע ישנן כ-22.5 פרצות זמינות שמקורן ברכיבי קוד פתוח ששימשו במהלך פיתוח היישום. רכיבים אלה יכולים להיות ספריות, טכנולוגיות או סקריפטים והם משמשים באופן שוטף מפתחים רבים. הבעיה היא שבחלקם, רכיבים אלה אינם מעודכנים לאחר ששולבו במוצר הסופי.

ב-10% מהמקרים נמצאו רכיבים עם פרצת הארטבליד ב-10% מהמקרים נמצאו רכיבים עם פרצת הארטבליד ב-10% מהמקרים נמצאו רכיבים עם פרצת הארטבליד

67% מהיישומים שנבדקו הכילו רכיבי קוד פתוח עם חולשות. עוד נמצא שבממוצע נמצאו כ-5 רכיבים שהכילו פרצות אבטחה. פרצות אלה משמשות לרוב האקרים על מנת לחדור למערכות ולגנוב מידע או לגבל גישה לממשקים ארגוניים.

זאת ועוד, לא מעט מהחולשות שמופו היו ישנות מאוד ובחלקן כבר נחסמו בגרסאות עדכניות של אותם רכיבי קוד פתוח. חלק מהחולשות האלה התגלו כבר לפני כ-5 שנים. אחד החוקרים הסביר שארגונים רבים לא טורחים לבצע בדיקה מקיפה של הקוד של יישומים שנמצאים בשימוש.

"הממצאים מעידים שארגונים רבים כלל לא היו מודעים לפרצות האלה כלל", הסביר החוקר, "או בגלל שלא ידעו שהרכיב נמצא ביישום, או בגלל שהם לא טרחו לבדוק את הרכיבים במאגרי המידע הזמינים".

בכ-10% מהמקרים, חלק מהפרצות שנמצאו היו כאלה שנמצאות בראש רשימת החולשות המסוכנות, כגון באג ה-Heartbleed בפרוטוקול OpenSSL, או פרצת POODLE שמאיימת על אתרי אינטרנט שמאובטחים דרך TLS.  

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות



3 תגובות לכתיבת תגובה לכתיבת תגובה

2.
קובי אתה מדבר שטויות
הכתבה הזו רלוונטית מתמיד , כל יום מתגלים יותר ויותר קומפוננטות קוד פתוח עם בעיות אבטחה ובזמן שבעית אבטחה זו היא ידועה למי שרוצה להשתמש בה חברות לא ממהרות לעדכן גרסאות. תוכנה כמו BLACK DUCK (מעולה דרך אגב) או אחרות מתריעות לך בזמן אמת איזו גרסה לא מעודכנת ואיפה היא יושבת לך בקוד אין פה שום ממוצע על באגים - מעדכנים קומפוננטה קומפוננטה ברור שOSS הוא מעולה וכולם צריכים להשתמש בו - אין צורך לפחד מOSS רק צריך להשתמש בו נכון
יוסי , ראשון לציון  |  08.05.16
1.
כתבה מיושנת .....
הכתבה הנ"ל לא אומרת כלום ולא מחדשת כלום. הפרצות הנ"ל כבר מזמן מאוד נחלת העבר. מי שלא מעדכן זו בעיה שלו... (וזה נכון גם לגופים גדולים...) להציג את הקוד הפתוח כפרוץ הינו מגמתי מאוד מצד הגופים הגדולים. בכלל לא ברורה עצם הכוונה בכתבה הנ"ל. לעשות סטטיסטיקה של ממוצע באגים למערכת לא נותנת כלום לאף אחד. תודיעו על מציאת באג והוא יתוקן מידית ברוב המקרים מה שלגופים גדולים לוקח שבועות במקרה הטוב וחודשים רבים בדרך כלל.
קובי  |  07.05.16