Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Veracode julkaisi juuri täydennyksen vuosittain julkaistavaan State of Software Security -raporttiin. Täydennysosassa Veracoden asiantuntijat keskittyvät avoimen lähdekoodin kirjastoissa esiintyviin tietoturvahaavoittuvuuksiin.

Avoimen lähdekoodin kirjastojen käyttö on keskeinen osa nykyaikaista sovelluskehitystä. Kirjastojen avulla saadaan nopeasti keskeiset perustoiminnallisuudet ohjelmistoon. Voidaankin varmaan todeta, ettei uusien sovellusinnovaatioiden syntyminen olisi käytännössä mahdollista ilman kirjastoja.

Kirjastojen käyttöön sisältyy kuitenkin riskejä, joista kehittäjien on hyvä olla tietoisia. Veracode on koonnut raporttiin yhteenvedon tuloksista, jotka sen asiantuntijat saivat esiin analysoituaan yli 350 000  avoimen lähdekoodin sovelluskirjastoa, jotka olivat osana 85 000 sovellusta. Kävi ilmi, kuten odottaa sopii, että kirjastot ovat läsnä kaikkialla, ja että niihin sisältyy tietoturvariskejä, mutta tuli esille myös hyviä uutisia siitä, miten riskejä voidaan pienentää.

Avoimen lähdekoodin kirjastot ovat yleisiä ja niihin sisältyy riskejä

Veracoden tutkijat havaitsivat, että useimmat javascriptillä tehdyt sovellukset sisälsivät satoja avoimen lähdekoodin kirjastoja – jotkut jopa yli 1000 eri kirjastoa. Lisäksi useat ohjelmointikielet käyttävät aina samoja sovelluskirjastoja. 

Tämä kävi ilmi erityisesti javascriptillä tai PHP:llä toteutetuissa sovelluksissa, joissa tietyt kirjastot löytyivät lähes jokaisesta ko kielillä toteutetusta sovelluksesta.

Raportissa todetaan, että 70 prosentissa sovelluksista on haavoittuvuus jossakin avoimen lähdekoodin kirjastossa ensimmäisessä skannauksessa. Cross-site scripting on kirjastojen yleisin haavoittuvuus ja löytyy 30 prosentissa kirjastoja, toiseksi yleisin on turvaton sarjallistamisen purku (insecure deserealization): 23,5 % ja kolmas rikkinäinen pääsynhallinta 20,3%.

SOSS Opensource - vulnerability prevalence

Kirjastoja saattaa tulla käyttöön huomaamatta

SOSS Opensource report - vulnerability aspects

Raportissa nostetaan esille eri kirjastojen välisten riippuvuuksien suuri määrä, mistä aiheutuvat riskit saattavat jäädä piiloon kehitysprosessissa. Tutkittu data paljastaa, että haavoittuvuuksia sisältävää koodi on usein päätynyt mukaan epäsuorasti. 

Kaikkiaan lähes 47 prosenttia haavoittuvuuksia sisältäneistä kirjastoista oli transitiivisia. 

Toisin sanoen koodarit eivät olleet viitanneet niitä suoraan, vaan heidän käyttämänsä sovelluskirjasto .

Kirjastojen suojaaminen ei kuitenkaan vaadi suuria ponnisteluja

Hyvä uutinen kehittäjille on, että tietoturvahaavoittuvuuksien välttäminen ei vaadi, useimmissa tapauksissa, suuria ponnisteluja. Useimmat kirjastoissa olevat haavoittuvuudet (lähes 75 %) voidaan ratkaista vain pienellä kirjaston version päivityksellä. Suuriin päivityksiin ei ole yleensä tarvetta, jolloin ongelmat voidaan käsitellä etsi-ja-löydä -tyyppisesti ilman isoja refaktorointeja.

Lisätietoja blogeistamme

Veracode SCA Header
sdlc
Tapio Särkelä

Veracode SCA – uudempi ja parempi

Veracode osti taannoin SourceClearin. Yhdistämällä ohjelmiston koostumuksen analyysin tekniikat ohjelmistotalot voisivat kehittää entistä parempia sovelluksia avoimen lähdekoodin avulla tietoturvan säilyessä korkealla tasolla.

Lue lisää »

Lataa raportit

Alla olevaa kuvaa klikkaamalla yhteenveto raportissa esitetyistä havainnoista. 

Koko raportin voi ladata Veracoden sivulta osoitteesta https://info.veracode.com/report-state-of-software-security-open-source-edition.html

Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Koko sovellusportfolion tietoturvan hallinta yhdessä ja samassa palvelussa Veracoden palvelun avulla voidaan arvioida

Lue lisää »
Veracode Security Labs - user management
Veracode
Saku Tuominen

Veracode Security Labs

Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää.

Lue lisää »
SOSS Opensource Edition 2020
Veracode
Tapio Särkelä

SOSS: Avoimen lähdekoodin kirjastot

Veracode julkaisi juuri täydennyksen vuosittain julkaistavaan State of Software Security -raporttiin. Täydennysosassa Veracoden asiantuntijat keskittyvät avoimen lähdekoodin kirjastoissa esiintyviin tietoturvahaavoittuvuuksiin.

Lue lisää »
Amy DeMartine
Veracode
Tapio Särkelä

Secure What You Sell

Tuntuuko koskaan siltä, että tietoturvasta ja riskienhallinnasta vastaavilla olisi aivan eri prioriteetti kuin muulla liiketoiminnalla? Tunne ei ole ihan vailla pohjaa, sillä sitä esiintyy todella monissa yrityksissä.

Lue lisää »
Veracode
Tapio Särkelä

Tietoturvan skannausmenetelmien vahvuudet ja heikkoudet

Mikä on oikea menetelmä sovellusten tietoturvan testaukseen? Millaisia haavoittuvuuksia eri menetelmät paljastavat? Pitääkö käyttää useita eri menetelmiä?

Seuraavaksi käsitellään lyhyesti Veracoden palvelussa käytettäviä eri testausmenetelmiä ja tuodaan esille niiden vahvuuksia ja heikkouksia.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.