Sonatyp soll Entwicklern helfen, das Risiko von Open-Source-Komponenten zu reduzieren

Softwareentwickler verwenden eine große Anzahl von Open-Source-Komponenten, oft ohne die Sicherheitsrisiken, die sie einführen, oder die Schwachstellen, die später in ihnen entdeckt werden.

Sonatype, ein Unternehmen, das Entwicklern bei der Verwaltung von Open-Source-Komponenten hilft In verschiedenen Anwendungen wurde versucht, dieses seit langem bestehende Problem mit einer neuen Version des Component Lifecycle Management (CLM) -Produkts zu lösen, das am Freitag veröffentlicht wurde.

Die Verwendung von Code-Komponenten von Drittanbietern ist für die zunehmend schnelllebige Softwareentwicklung von entscheidender Bedeutung Zyklen, die heute existieren, aber Sicherheitsexperten warnen lange vor den Risiken, die mit dieser Praxis verbunden sind.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Es gibt ein Reas Warum "die Verwendung von Komponenten mit bekannten Schwachstellen" zu den zehn wichtigsten Sicherheitslücken in Webanwendungen gehört, die vom Open Web Application Security-Projekt (OWASP) identifiziert wurden - das Problem ist allgegenwärtig.

Auch große Softwareanbieter sind sicherheitsbewusster als andere es schwer haben, ihre Produkte gegen Schwachstellen in Open-Source-Komponenten zu verfolgen und zu patchen … Anfang dieses Jahres brauchte VMware zwei Monate, um zu identifizieren, welche seiner Produkte anfällig für Schwachstellen im Open-Source Apache Struts-Framework waren und Updates herauszugeben für sie.

Die kritische Heartbleed-Schwachstelle, die im April in der weit verbreiteten OpenSSL-Bibliothek angekündigt wurde, ist das Aushängeschild für die Art von Sicherheitsrisiken, die mit Code von Drittanbietern verbunden sind. Während viele Webserver relativ schnell gepatcht wurden, betraf die Sicherheitslücke auch mobile Anwendungen, Netzwerkgeräte, industrielle Steuerungssysteme und sogar medizinische Geräte, von denen einige immer noch anfällig sind.

Softwareentwickler haben rund 13 Milliarden Mal Open-Source-Komponenten heruntergeladen Letztes Jahr, nach Sonatype

Die Idee, manuelle Audits, manuelle Genehmigungen und traditionelle Governance zu verwenden, um mit dieser Konsumtion umzugehen, ist einfach unmöglich, sagte Wayne Jackson, CEO von Sonatype.

Statt Entwickler elektronische Formulare anzumelden Wenn Sie eine Genehmigung für die Verwendung einer Open-Source-Komponente oder einer bestimmten Komponentenversion von Spezialisten in verschiedenen Teams einer Organisation, wie Sicherheit, Lizenzierung, Architektur oder Infrastruktur, anfordern, können diese Experten den Sonatype CLM verwenden, um die Akzeptanzattribute für verschiedene Anwendungsprofile zu definieren. Das Produkt kann dann diese Richtlinien verwenden, um die Genehmigung hinter den Kulissen automatisch zu übernehmen.

Das CLM-Dashboard verfolgt alle Open-Source-Komponenten, die in Anwendungen verwendet werden, die sich in Entwicklung oder Produktion befinden. Es kann erkennen, wenn neue Komponenten mit bekannten Schwachstellen in einer Phase des Entwicklungszyklus - Build, Integration, Test oder Release - eingeführt werden.

Wenn eine neue Sicherheitslücke in einer bereits verwendeten Open-Source-Komponente angekündigt wird, kann das Produkt signalisieren Sie sofort alle Anwendungen, die sie enthalten, und können Entwickler und die Sicherheitsspezialisten der Organisation darüber informieren. Laut Sonatype markiert das CLM-Dashboard nicht nur gefährdete Komponenten, sondern schlägt auch alternative Versionen dieser Komponenten vor, die sicher zu verwenden sind.

CLM verfolgt Sicherheitsrisiken in Java-Komponenten, wird aber bald auf .NET und NPM (Node) erweitert Paket-Manager). Die Unterstützung für RubyGems, PyPI (Python Package Index), CPAN (Comprehensive Perl Archive Network) wird im kommenden Jahr hinzugefügt.

Der Anstieg der agilen Entwicklung und DevOps hat Unternehmen enorm unter Druck gesetzt, schnell, wenn nicht kontinuierlich, Sagte Jackson. "Also müssen die Tools, die zum Sichern von Anwendungen, zum Nachverfolgen dessen, was verwendet wird, und zur ordnungsgemäßen Verwendung, auch in Echtzeit arbeiten. Das ist das Wichtigste, was wir getan haben - wir müssen sicherstellen, dass Governance und die Erstellung sicherer Software im Agile- und DevOps-Tempo möglich sind. "

Sonatype mit Sitz in Fulton, Maryland, hat sich auf die Optimierung von Softwareentwicklungsprozessen durch Tools spezialisiert, die das Repository-Management, die Komponentenüberwachung, die Zusammenarbeit, die Durchsetzung von Lizenzrichtlinien und andere Aufgaben automatisieren. Die Produkte werden von großen Softwareanbietern sowie von Banken, Kreditkartenfirmen, Luft- und Raumfahrtunternehmen und IT-Geräteherstellern verwendet.