Rapor: Güvenlik açığı bulunan açık kaynaklı indirmelerin %96’sı önlenebilir durumda


Vatandaş geliştiricilerin becerilerini artırarak ve ölçeklendirerek başarılı bir şekilde yenilik yapmayı ve verimliliğe nasıl ulaşılacağını öğrenmek için Low-Code/No-Code Summit’teki isteğe bağlı oturumlara göz atın. İzle şimdi.


Sektörün açık kaynaklı yazılıma bağımlılığı arttıkça, son üç yılda %742 artışla bilinen yazılım tedarik zinciri saldırılarının sayısı da arttı. sonatip sekizinci yıllık Yazılım Tedarik Zincirinin Durumu Raporu. Rapora göre her ay 1,2 milyar savunmasız bağımlılık indiriliyor. Bunların %96’sında savunmasız olmayan bir seçenek mevcuttu. Kamuya açık tartışmalarda neden olarak genellikle açık kaynak geliştiriciler değil, tüketici davranışı gösterilir.

Bu eğilimin arkasındaki nedenlerden biri, yazılım tedarik zinciri saldırılarının artması ve gelişmesidir. Rapor, kamuya açık depolarda açık kaynağa yönelik kötü amaçlı saldırılarda yıldan yıla %633’lük bir artış ve 2019’dan bu yana yazılım tedarik zinciri saldırılarında yıllık ortalama %742’lik bir artış olduğunu ortaya koyuyor.

Görüntü kaynağı: Sonatype.

Siber suçlular yeni bir şey olmasa da, bu kötü niyetli saldırıların sıklığı, şiddeti ve karmaşıklığı, dünyanın her yerindeki geliştiricileri ve kuruluşları rahatsız eden önemli bir sorun haline geliyor. Geliştiricilerden, sürekli gelişen saldırılar karşısında yazılım kalitesi, birden çok açık kaynak ekosistemi, dalgalanan düzenlemeler ve uygulama başına yılda yaklaşık 1.500 bağımlılık değişikliği hakkında çalışan bir bilgi sahibi olmaları isteniyor.

Peki ne yapılabilir? Bağımlılıkları en aza indirmek ve düşük güncelleme sürelerini sürdürmek, en yaygın güvenlik riski kaynağı olan geçişli güvenlik açıkları riskini azaltmak için kritik faktörlerdir.

Etkinlik

Akıllı Güvenlik Zirvesi

Yapay zeka ve makine öğreniminin siber güvenlikteki kritik rolünü ve sektöre özel vaka incelemelerini 8 Aralık’ta öğrenin. Ücretsiz geçişiniz için bugün kaydolun.

Şimdi üye Ol

Güvenlik açıklarını azaltmak, projelerin güvenliğinden daha fazlasıdır: iş memnuniyetini de etkiler. Mühendislik profesyonelleri arasında yapılan bir ankette, daha yüksek yazılım tedarik zinciri olgunluğuna sahip kuruluşlardan bireylerin, “İşimden memnunum” ifadesine güçlü bir şekilde katılma olasılığı 2,7 kat daha fazlaydı.

İlginç bir şekilde, uygulanan güvenlik önlemleri ile BT’deki kişilerin ne yapması gerektiği arasında açık bir kopukluk var. düşünmek oluyor. Yanıt verenlerin yüzde altmış sekizi, uygulamalarının güvenlik açığı bulunan kitaplıkları kullanmadığından emindi. Ancak, kurumsal uygulamaların rastgele taranmasında, %68’inin açık kaynaklı yazılım bileşenlerinde bilinen güvenlik açıkları vardı.

BT yöneticilerinin, “Güvenlik sorunlarının çözümünü geliştirme çalışmasının düzenli bir parçası olarak ele alıyoruz.”

Daha hızlı yenilik yapmak ve ölçekte büyümek için kuruluşların, geliştiricilerin sistemlerine daha fazla görünürlük sağlayan ve süreçlerini otomatikleştiren daha akıllı araçlar sunmayı da içeren güvenli, bakımı yapılabilir yazılımlar oluşturmasını mümkün olduğunca kolaylaştırması gerekir.

Sonatype’ın sekizinci yıllık Yazılım Tedarik Zincirinin Durumu Raporu, 131 milyar Maven Central indirmesi, 662 mühendislik profesyonelinden anket sonuçları ve 85.000 kurumsal uygulamanın değerlendirilmesi dahil olmak üzere geniş bir kamu ve özel veri ve analiz setini harmanlıyor.

Okumak tam rapor Sonatype’tan.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Brifinglerimizi keşfedin.


Kaynak : https://venturebeat.com/security/report-96-of-vulnerable-open-source-downloads-are-avoidable/

Yorum yapın