Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Hakkerit kohdistavat energiansa ja tarmonsa sinne, mistä saa eniten hyötyä vähimmällä vaivalla. Tilastojen mukaan, jopa 90% sovelluskoodista on ulkoisia kirjastoja ja riippuvuuksia. On siis ilmeistä että tähän kohtaan hyökätään, eilen, nyt ja tulevaisuudessa. Avoimen lähdekoodin kehitystä emme voi reguloida tai ohjata, mutta siihen, miten kirjastoja hyödynnämme sovelluskehityksessä sen sijaan voimme.

Äskettäin on uutisoitu Rubyn erääseen kirjastoon upotetusta ”haittaohjelmankaltaisesta” vahingollisesta koodinpätkästä. Uutinen on esimerkiksi luettavissa ZDNet-palvelussa.

Mistä tässä on kysymys? Hyvin perinteisestä asiasta. Hakkeri on onnistunut ottamaan haltuunsa kehittäjän tunnukset, ja sitä kautta päässyt muokkaamaan kirjaston lähdekoodia. Luottamusketju Rubyn kaltaisessa frameworkissa on kuitenkin kova – kehittäjät tunnetaan nimimerkillä ja kuvalla eikä muutoksiin suhtauduta lähtökohtaisesti mitenkään epäillen. Eikä voitaisikaan, se romuttaisi osaltaan koko avoimen lähdekoodin konseptin. Silti, jotenkin tätä vastaan olisi suojauduttava.

Ruby Account Compromised

Kaiken kaikkiaan kurjaa ja ikävää – mutta tähänkin on olemassa automatisoitava ja holistinen ratkaisu jolla kirjaston käyttäjät voivat hallita tätä sovelluskehitykseen liittyvää ja nykyään vakavaksi katsottavaa riskiä. Veracoden Sourceclear skannaa ja seuraa – yötä päivää ja väsymättä – sovelluskehitysympäristösi kirjastojen haavoittuvuuksia ja raportoi silloin kun ohjelmistossa on käytössä kirjasto joka sisältää haavoittuvuuksia.

Sourceclear vulnerability database
Veracode open source risk
sdlc

Ymmärrä avoimen lähdekoodin riskit

Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.

Lue lisää »
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.