O nás     Inzerce     KontaktSpolehlivé informace o IT již od roku 2011
Hledat
Nepřehlédněte: Nově: Pozoruhodné IT produkty 2021 podruhé
Správa dokumentů
Digitální transformace
Informační systémy
Hlavní rubriky: Informační systémy, Mobilní technologie, Datová centra, Sítě, IT bezpečnost, Software, Hardware, Zkušenosti a názory, Speciály

Pozoruhodné IT produkty 2021
E-knihy o IT zdarma

Odborné IT konference BusinessIT
Manuál Linux

Počty zranitelností v open source projektech rostou

Podle studie The Dark Reality of Open Source společnosti RiskSense vzrostl vloni počet zranitelností v 54 sledovaných open source projektech meziročně na více než dvojnásobek. Mnoho chyb bylo navíc do registru National Vulnerability Database nahlášeno až několik týdnů po zveřejnění jejich objevení. Právě tuto skutečnost pokládají výzkumníci firmy RiskSense za největší bezpečnostní riziko.

Zpráva The Dark Reality of Open Source se věnuje populárním open source projektům, které hojně využívá technologická a softwarová komunita. Jde například o nástroje Jenkins, MongoDB, ElasticSearch, Chef, GitLab, Spark nebo Puppet. Velká, resp. všudypřítomná řešení, která poutají pozornost velké části odborné veřejnosti, jako jsou například Linux, WordPress nebo Drupal, výzkumníci do studie nezařazují.

Před dvěma lety tvůrci zprávy ve sledovaných open source projektech objevili 421 chyb, vloni šlo o 968. Mezi rokem 2015 a březnem 2020 u nich odhalili celkem 2 694 zranitelností. Již zmíněné pozdní hlášení do databáze NVD se v průměru odehrává 54 dnů po odhalení, resp. zveřejnění chyby. V případě poměrně populárního projektu PostgreSQL se zranitelnosti do registru NVD dostávají někdy až s osmiměsíčním zpožděním.

Zveřejněné, ale nenahlášené zranitelnosti softwaru představují pro uživatele vážné bezpečnostní riziko. Databázi NVD využívají bezpečnostní a softwarové firmy jako informační zdroj, s jehož pomocí tvoří a distribuují upozornění na chyby a na jejich ošetření. Pokud v ní oznámení chybí, zůstávají uživatelé vystaveni hrozbě útoků, jež danou zranitelnost potenciálně zneužijí.

Kybernetičtí zločinci s touto variantou často počítají a na neošetřené nebo nenahlášené chyby softwaru se zaměřují. Od roku 2015 patří v tomto směru a v rámci studie společnosti RiskSense k nejčastěji zneužívaným projekty Jenkins a MySQL.

Zranitelnosti a jejich zneužití od roku 2015

 

Zdroj: RiskSense

 


(9. 6. 2020 | Lukas_Kriz)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2011-2021 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | Používáme účetní program Money S3 | pg(7889)