Sigurnost softverskih zavisnosti: Ključni izazovi i rješenja
Uvod
S rastućom ovisnošću organizacija o vanjskim komponentama i bibliotekama otvorenog koda radi ubrzavanja razvojnih procesa, stručnjaci upozoravaju da je upravljanje sigurnosnim rizicima povezanima s tim zavisnostima postalo prioritet. Izvještaj o upravljanju zavisnostima Endor Labs za 2024. godinu otkriva izazove u upravljanju softverskim zavisnostima i ranjivostima, analizirajući sedam programskih jezika: Java, Python, Rust, Go, C#, .NET, Kotlin i Scala.
Ranjivosti u softverskim zavisnostima
Istraživanje je pokazalo da manje od 9.5% ranjivosti u 2024. godini predstavlja stvarne prijetnje. “Mnoge organizacije imaju poteškoća s upravljanjem rizicima od zavisnosti,” ističe Darren Meyer, inženjer istraživač u Endor Labs. “Oni se suočavaju s poplavom upozorenja o ranjivostima koja često ne predstavljaju relevantan rizik; istraživanje tih upozorenja skupo je za sigurnosne (i softverske) timove, a pokušaj rješavanja svih problema još je skuplji.”
Kompleksnost upravljanja zavisnostima
Upravljanje zavisnostima nije jednostavan zadatak jer većina softverskih projekata oslanja se na slojeve zavisnosti, uključujući biblioteke prvih strana, okvire i operativne zavisnosti koje podržavaju proizvodna okruženja. Ove međusobno povezane komponente stvaraju složenu mrežu, a bilo koja ranjivost može povećati sigurnosne rizike za organizacije.
Otvoreni izvor i sigurnosni izazovi
Korištenje komponenti trećih strana, posebno otvorenog softvera, uobičajena je praksa u modernom razvoju softvera. To smanjuje vrijeme koje programeri troše na pisanje osnovnog koda, omogućujući korištenje već izgrađenih funkcionalnosti koje ubrzavaju razvojne cikluse. Međutim, ovo donosi i jedinstvene sigurnosne izazove zbog ranjivosti unutar tih vanjskih komponenti.
Problem “fantomske zavisnosti”
Mnogi sigurnosni problemi proizlaze iz “fantomske zavisnosti”, odnosno skrivenih komponenti koje nisu izričito dokumentirane u kodu softvera i koje mogu uvoditi ranjivosti koje tradicionalni alati ne mogu otkriti. Dodatno, gotovo 70% preporuka koje izdaju platforme za upravljanje ranjivostima, poput NIST-ovog NVD-a, objavljuju se nakon izdavanja odgovarajuće sigurnosne zakrpe, s medijanom kašnjenja od 25 dana.
Nedostatak informacija u bazama ranjivosti
Endor također tvrdi da gotovo polovica savjeta u javnim bazama ranjivosti nedostaje detaljnim informacijama na razini koda, dok samo 2% pruža informacije o ranjivostima specifičnim za funkcije. To otežava sigurnosnim timovima da utvrde mogu li se poznate ranjivosti iskoristiti u njihovim aplikacijama. Analiza Endora od 1,250 ažuriranja ranjivih do neranjivih verzija pokazuje da 24% popravaka zahtijeva major verziju, dok 6% ranjivosti može biti riješeno manjim ažuriranjima.
Fokus na najvažnije ranjivosti
Endor stoga tvrdi da ne predstavljaju sve ranjivosti isti nivo rizika. Organizacijama se savjetuje da se fokusiraju na najdostupnije i najeksploatabilnije ranjivosti, budući da samo oko 9.5% ranjivosti u zavisnostima može biti korišteno na razini funkcije. Analiza dostupnosti, koja utvrđuje poziva li aplikacijski kod ranjivu funkciju u zavisnosti, pojavljuje se kao jedna od najefikasnijih metoda za smanjenje buke u izvještavanju o ranjivostima.
Zaključak
Fokusiranjem na ranjivosti koje imaju jasnu putanju za iskorištavanje, organizacije mogu smanjiti svoje napore na otklanjanju problema gotovo za 90%, prema ovom izvještaju. U današnjem digitalnom svijetu, pravilno upravljanje zavisnostima nije samo pitanje učinkovitosti, već ključna mjera za osiguranje sigurnosti i zaštitu informacija.
